病毒.名称:N/A(Kaspersky) pCC 7(Ouo
病毒别名:Backdoor.Jusi.i(瑞星) ' "'Btxz
病毒大小:216,576 字节 H] k'?;
加壳方式:SVKP jJ~Y]dQi
样本MD5:e17774b70be4427768180286a6889fae zE`R,:VI
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d 0+EN@Y^dAV
传播方式:恶意网页、其它病毒下载 Uki9/QiX>
,)h)5o(?
技术分析 B!b sTvX
========== B
wC+ov=
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: JRO$<
文件版本:5.2.3790.1830 pUCK-rL
描述:Generic Host Process for Win32 Services (KTnJZ
版权:(C) Microsoft Corporation. All rights reserved. ioV_oR9I
产品.名称:Microsoft(R) Windows(R) Operating System -(>qu.[8=
公司:Microsoft Corporation xhw-2dl*H
木马运行后复制自身到系统目录: ?z/Vgk+9|
%System%NeroCheck.exe `tE^jqrke5
释放dll注入进程: gi]ZG
%System%NeroCheck.dll EvE,Dm?h
以及%System%SVKP.sys文件。 v7IzDz6gF
使用%temp%delmeexe.bat批处理删除自身: SMoz:J*Q(
@echo off f-g1[!"F
:loop 6GYtY>
del "exe" ([ dT!B#aH
del "%temp%delmeexe.bat" EfiU$8y
if exist %temp%delmeexe.bat goto loop 字串9 \ZD[!w7
木马创建以下服务: `HW:^T
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] Ftv8@l
显示名:Indexing Services F98i*K`"
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. 1pP1d%
可执行文件的路径:%System%NeroCheck.exe >qR~'$,$
清除步骤 rg5]&<Vq8
========== j'GtgT
1. 删除木马的.服务项: ? _<[T
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc]
u1cu]Sj0
2. 重新启动计算机 '<@=vGsye
3. 删除.木马文件: dTGA5c
%System%NeroCheck.exe 7zDiHac
%System%NeroCheck.dll Yv)aAWEa
%System%SVKP.sys *Msr15