病毒.名称:N/A(Kaspersky) ��K5�h2 ~
病毒别名:Backdoor.Jusi.i(瑞星) 75^U<Hz-3{
病毒大小:216,576 字节 �fcim4d�fP
加壳方式:SVKP �^�|�P�/D�
样本MD5:e17774b70be4427768180286a6889fae -$�x5[�6bN
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d ;�Nd,K
C0k
传播方式:恶意网页、其它病毒下载 ]]EOCGZ"��
$=�IJ-�_'o
技术分析 6�*�{sZ�MG
========== ��3eg)O�34
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: 8H��dm�(�>
文件版本:5.2.3790.1830 <��$V!y
dO
描述:Generic Host Process for Win32 Services w�;p�:��4`
版权:(C) Microsoft Corporation. All rights reserved. d�r54���D�
产品.名称:Microsoft(R) Windows(R) Operating System oB�$P6����
公司:Microsoft Corporation ��4@Q`�8N.
木马运行后复制自身到系统目录: !�U�6�� x_
%System%NeroCheck.exe Xcy Xju#"p
释放dll注入进程: c=^��A3[AM
%System%NeroCheck.dll [}GPo0�G�Y
以及%System%SVKP.sys文件。 &ody[�k?'
使用%temp%delmeexe.bat批处理删除自身: �+s�`HTf�
@echo off t��&oN�C�6
:loop +(pFU\&U3H
del "exe" �LE'8R~4.<
del "%temp%delmeexe.bat" g�f&\�)"�
if exist %temp%delmeexe.bat goto loop 字串9 ik;S!S\�v
木马创建以下服务: ,�sOdc!![�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] ;b�-d2�R��
显示名:Indexing Services �vg.K-"yQW
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. |e]2 >NjQa
可执行文件的路径:%System%NeroCheck.exe #77p>��zhY
清除步骤 y|+n7�7[Gv
========== wqZ�*�$M��
1. 删除木马的.服务项: :�Sd"~\�N+
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] q#6K'��=AC
2. 重新启动计算机 Os5Xejh`�I
3. 删除.木马文件: |})7�\���o
%System%NeroCheck.exe ��>l�$��qE
%System%NeroCheck.dll ����cD6T�4
%System%SVKP.sys ���S�,���*
