病毒.名称:N/A(Kaspersky) UN��Kr
FYl
病毒别名:Backdoor.Jusi.i(瑞星) Z�E0D���=�
病毒大小:216,576 字节 �u��+���,�
加壳方式:SVKP x�`g�sD3C�
样本MD5:e17774b70be4427768180286a6889fae ^Y�+P(o$HM
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d x�e!6Pgcb�
传播方式:恶意网页、其它病毒下载 `��@Tl7�I\
u��O}U�vMW
技术分析 �H�.�]rH,8
========== rIZ�^ix-�N
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: �;�*409�P�
文件版本:5.2.3790.1830 �U�8R*i��7
描述:Generic Host Process for Win32 Services u�40<>A���
版权:(C) Microsoft Corporation. All rights reserved. +*ZF52hy|
产品.名称:Microsoft(R) Windows(R) Operating System :7jDgqn^|i
公司:Microsoft Corporation c*HWH$kB��
木马运行后复制自身到系统目录: KO5! (vi@
%System%NeroCheck.exe �A��v�Ed�?
释放dll注入进程: � hNF.����
%System%NeroCheck.dll )xj!7:�n)
以及%System%SVKP.sys文件。 MY"���8!��
使用%temp%delmeexe.bat批处理删除自身: &5o �ln@YL
@echo off E\dJb}"x %
:loop ^
woC�wW8n
del "exe" 2
rx``�,7Q
del "%temp%delmeexe.bat" d\A�!5�/LG
if exist %temp%delmeexe.bat goto loop 字串9 T�uX�9�:�Q
木马创建以下服务: kKE�s >a��
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] -Ay=�*c.4
显示名:Indexing Services �b?{�\�t;�
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. ur�A
kV#d#
可执行文件的路径:%System%NeroCheck.exe R8![
$�mkU
清除步骤 *w�D| e�K7
========== q7u�bRak
1. 删除木马的.服务项: 1^_V��8dm)
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] |v�31�weD8
2. 重新启动计算机 @Rp��#*�{�
3. 删除.木马文件: �TZ�Yz`l+v
%System%NeroCheck.exe o+I'nFtnI�
%System%NeroCheck.dll t�2� 0E�s�
%System%SVKP.sys �C�F�yu9Al
