病毒.名称:N/A(Kaspersky) lK�l��U-4�
病毒别名:Backdoor.Jusi.i(瑞星) '3<��fs�K=
病毒大小:216,576 字节 $d�A-2e1�0
加壳方式:SVKP F$^�Su<w5l
样本MD5:e17774b70be4427768180286a6889fae �"�R3d�+p�
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d V^���\8BVw
传播方式:恶意网页、其它病毒下载 KyzFnVH3)
�'
4E��R00
技术分析 ^|TG$`M(w�
========== M�W �PvR|Q
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: k��i�Ra+w:
文件版本:5.2.3790.1830 #(��1j#�\�
描述:Generic Host Process for Win32 Services %zSuK8�kxV
版权:(C) Microsoft Corporation. All rights reserved. ��{�'AWZ�(
产品.名称:Microsoft(R) Windows(R) Operating System �>�-O/U5<!
公司:Microsoft Corporation :OW�;?{ ~j
木马运行后复制自身到系统目录: 2�KQo��y;
%System%NeroCheck.exe L�*Me�.�"*
释放dll注入进程: RKPD�4e>%�
%System%NeroCheck.dll ���:<Fe���
以及%System%SVKP.sys文件。 VwEb7v,^0\
使用%temp%delmeexe.bat批处理删除自身: Zv�UC���I8
@echo off Zr-U&�9.`�
:loop MN�g^]�tpf
del "exe" sYd��Rh?Hq
del "%temp%delmeexe.bat" ��V13B�B44
if exist %temp%delmeexe.bat goto loop 字串9 Vur b�W=~g
木马创建以下服务: =i(��?de�R
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc]
!xwG%�{�_
显示名:Indexing Services 11,!XD��*"
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. jZ�%TJ0(H
可执行文件的路径:%System%NeroCheck.exe w=}uwvn NX
清除步骤 ��%eJGt�e-
========== ���(E,Y��o
1. 删除木马的.服务项: l$YC/���bP
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] Q//�,4>JKf
2. 重新启动计算机 '*Alm�v�{�
3. 删除.木马文件: �ay
%KE=*v
%System%NeroCheck.exe r@{�~� 5&L
%System%NeroCheck.dll E��d:eGm }
%System%SVKP.sys HBY.DCN[Z
