病毒.名称:N/A(Kaspersky) N0�UL�1[ur
病毒别名:Backdoor.Jusi.i(瑞星) :y�PA6O 4�
病毒大小:216,576 字节 VI:EjZ/�|a
加壳方式:SVKP F"2�rX&��W
样本MD5:e17774b70be4427768180286a6889fae !{On_>�`�,
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d ^)-* Ubzz�
传播方式:恶意网页、其它病毒下载 P�|M#S9�^]
v(Vm:oK��,
技术分析 ]<y �_�
=>
========== g$=y#<�2?�
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: *c�"t�W8uR
文件版本:5.2.3790.1830 2o�L~N�*^C
描述:Generic Host Process for Win32 Services snU
$N��a3
版权:(C) Microsoft Corporation. All rights reserved. �&
Q�O9�/!
产品.名称:Microsoft(R) Windows(R) Operating System ,UOAGu<_gb
公司:Microsoft Corporation sT&O����%(
木马运行后复制自身到系统目录: UC@��&! kM
%System%NeroCheck.exe 42 6�l:>D(
释放dll注入进程: aX�`�@�WXK
%System%NeroCheck.dll f�M��g3���
以及%System%SVKP.sys文件。 �2VSs#z�!�
使用%temp%delmeexe.bat批处理删除自身: �f9`F�~�6$
@echo off ���LojE��J
:loop \gtI4zl*J
del "exe" E]Wnl�\Be�
del "%temp%delmeexe.bat" >|X�y'�ZR�
if exist %temp%delmeexe.bat goto loop 字串9 kd0~@r�PL�
木马创建以下服务: G�v�o|uB�#
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] <|qh5Sc��p
显示名:Indexing Services ;�;6e�
t/8
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. i,�k.#Vx[m
可执行文件的路径:%System%NeroCheck.exe L H>oG$a�
清除步骤 ���=2�s�j$
========== ' pnk�m0=`
1. 删除木马的.服务项: ]U9f4OD�t�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] E05RqnqBn0
2. 重新启动计算机 .I�oj]�r��
3. 删除.木马文件: UX���U�!sd
%System%NeroCheck.exe �(�t^&L���
%System%NeroCheck.dll FPg5!O%���
%System%SVKP.sys �:Ng4?
+@r
