病毒.名称:N/A(Kaspersky) tyF�hp:�ZB
病毒别名:Backdoor.Jusi.i(瑞星) �=\.Oc+p4
病毒大小:216,576 字节 �%:oy�Hlz%
加壳方式:SVKP D"�_~Njf��
样本MD5:e17774b70be4427768180286a6889fae �I9P<�!#q>
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d 6r"uDV #0�
传播方式:恶意网页、其它病毒下载 r�1&b�#r>
-]c5�**O}�
技术分析 l^4[;%*f#l
========== k��.? a�q
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: wOQ-s�p0q0
文件版本:5.2.3790.1830 5�\1�Z"�?�
描述:Generic Host Process for Win32 Services �dO.?S�89L
版权:(C) Microsoft Corporation. All rights reserved. c�Y?<
W/��
产品.名称:Microsoft(R) Windows(R) Operating System Qx���CZ�<|
公司:Microsoft Corporation �CL%?K<um
木马运行后复制自身到系统目录: �/'?Fz�*b�
%System%NeroCheck.exe J��&�UFP{)
释放dll注入进程: |1J=�wp)#�
%System%NeroCheck.dll �+RS>#zd/=
以及%System%SVKP.sys文件。 >�� ^fY`x,
使用%temp%delmeexe.bat批处理删除自身: R�<
@��o]p
@echo off �e:}8|e�~T
:loop ��Q#P=t8�3
del "exe" qR0V\OtgY~
del "%temp%delmeexe.bat" $�~��c?�qU
if exist %temp%delmeexe.bat goto loop 字串9 �3?I^D /K^
木马创建以下服务: x'���*�,~u
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] %J4]T35�^2
显示名:Indexing Services �f2�Fr�b�
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. SvC|"-[mJ�
可执行文件的路径:%System%NeroCheck.exe xExy?5�H7
清除步骤 q�+2yp&zF
========== �Nfc�Y30}:
1. 删除木马的.服务项: %
��IN�Rds
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] ��
b<�v��\
2. 重新启动计算机 )
?r�JKr[`
3. 删除.木马文件: Ao)hb4ex�
%System%NeroCheck.exe 1 Y_e1tgmm
%System%NeroCheck.dll ��=�$�601r
%System%SVKP.sys ��.{
^4I��
