病毒.名称:N/A(Kaspersky) g�jo�\g�P@
病毒别名:Backdoor.Jusi.i(瑞星) �He#+zE�;
病毒大小:216,576 字节 bI]1!b�i]i
加壳方式:SVKP F{�l,Tl"Jw
样本MD5:e17774b70be4427768180286a6889fae \hi{r@�k>}
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d M_9|YjwS��
传播方式:恶意网页、其它病毒下载 Kwh�3SU=L}
,Oxdqx��u7
技术分析 @Z3�b�^G�[
========== 6K��`�frt�
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: 7acAU{�R�r
文件版本:5.2.3790.1830 ,�wX/cUyZ
描述:Generic Host Process for Win32 Services .W��yI.Y1
版权:(C) Microsoft Corporation. All rights reserved. �H�D=WHT�&
产品.名称:Microsoft(R) Windows(R) Operating System _$cQAH0� E
公司:Microsoft Corporation 1-w�1�k�^e
木马运行后复制自身到系统目录: Dm� 'Q�&��
%System%NeroCheck.exe 50_%T��l�[
释放dll注入进程: O ��"�{o
(
%System%NeroCheck.dll (6 0,0�|s
以及%System%SVKP.sys文件。 B�Am�{Gb��
使用%temp%delmeexe.bat批处理删除自身: �&]��#D`u�
@echo off T�+��sO(�;
:loop i�]���Kq�
del "exe" �[W^6=�7EO
del "%temp%delmeexe.bat" -(:B�kA���
if exist %temp%delmeexe.bat goto loop 字串9 K�<s\:$VVh
木马创建以下服务: ^gb2=gW�Z<
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] 3c9v~5og�4
显示名:Indexing Services &2�QN^�)q�
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. r�yc�scE4,
可执行文件的路径:%System%NeroCheck.exe 2a?
d:21 B
清除步骤 \BJnJk�!%�
========== w'�L;`k;Q
1. 删除木马的.服务项: &X|z�(vSJ$
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] {jk {K6� }
2. 重新启动计算机 �[��;�|g2\
3. 删除.木马文件: <��~�:
��g
%System%NeroCheck.exe _�^SNI��~�
%System%NeroCheck.dll X��-n'�?=�
%System%SVKP.sys �m1+DeXR_g
