病毒.名称:N/A(Kaspersky) [RhO$c$[\
病毒别名:Backdoor.Jusi.i(瑞星) /(*q}R3Kfo
病毒大小:216,576 字节 !l8PDjAE
加壳方式:SVKP L#sMSVC+
样本MD5:e17774b70be4427768180286a6889fae 8cIKvHx
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d Ve; n}mJ?
传播方式:恶意网页、其它病毒下载 /
zPO
@qAS*3j
技术分析 *^ZV8c}
========== V**~m9f
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: VU3upy<
文件版本:5.2.3790.1830 $<EM+oJ|ER
描述:Generic Host Process for Win32 Services JK5gQ3C[
版权:(C) Microsoft Corporation. All rights reserved. ?0SJfh
产品.名称:Microsoft(R) Windows(R) Operating System H<,gU`&R
公司:Microsoft Corporation }19\.z&J
木马运行后复制自身到系统目录: \_f(M|
%System%NeroCheck.exe n{mfn*r.
释放dll注入进程: +[mk<pQ
%System%NeroCheck.dll ?Z/V~,
以及%System%SVKP.sys文件。 ;HO=
使用%temp%delmeexe.bat批处理删除自身: mCVFS=8V
@echo off /y}xX
:loop 2E'UZ
m
del "exe" z<?)Rq"
del "%temp%delmeexe.bat" )jP1or
if exist %temp%delmeexe.bat goto loop 字串9 S.NPZ39}ZE
木马创建以下服务: 2c*GuF9(0
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] /h3RmUy
显示名:Indexing Services 8&slu{M-
t
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. +cN8Y}V
可执行文件的路径:%System%NeroCheck.exe A3/k@S-R2
清除步骤 1mG-}
========== kt:!
7
1. 删除木马的.服务项: D'Q\za
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] EaN6^S=
2. 重新启动计算机 N`e[:[
3. 删除.木马文件:
_w+Qy.
%System%NeroCheck.exe cVF"!.
%System%NeroCheck.dll Rima;9.Y0
%System%SVKP.sys +23xev