病毒.名称:N/A(Kaspersky) ^=#!D[xj>
病毒别名:Backdoor.Jusi.i(瑞星) (v|`LmV
病毒大小:216,576 字节 coO.kTO;
加壳方式:SVKP (6[Wr}SW5
样本MD5:e17774b70be4427768180286a6889fae %f#\i#G<k
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d ;Yu>82o.:
传播方式:恶意网页、其它病毒下载 wKrdcWI,Z
C!kbZTO[p"
技术分析 WV~SL/k|
========== -~]^5aa5n
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: @YrGyq
文件版本:5.2.3790.1830 >!G5]?taa
描述:Generic Host Process for Win32 Services ?7 X3P
版权:(C) Microsoft Corporation. All rights reserved. s|p(KWo2U
产品.名称:Microsoft(R) Windows(R) Operating System a5I%RY
公司:Microsoft Corporation j>g9\i0O1
木马运行后复制自身到系统目录: =KW|#]RB^
%System%NeroCheck.exe 4=
$!_,.
释放dll注入进程: SJF 2k[da
%System%NeroCheck.dll OMxxI 6h
以及%System%SVKP.sys文件。 p|;o5j{
使用%temp%delmeexe.bat批处理删除自身: ^1vq{/ X
@echo off mlmnkgl
]
:loop (T;1q^j
del "exe" :!hk~#yvJ9
del "%temp%delmeexe.bat" iQ0&