病毒.名称:N/A(Kaspersky) Z{Vxr*9oO�
病毒别名:Backdoor.Jusi.i(瑞星) p//�T7r�s�
病毒大小:216,576 字节 /C*~�/}���
加壳方式:SVKP Ef�2Y���l�
样本MD5:e17774b70be4427768180286a6889fae +<S9E'gT3V
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d !OPSS��P]-
传播方式:恶意网页、其它病毒下载 W�3�D�e|V^
TRF]i�/Bs�
技术分析 �E)C.e�W /
========== �3�.Ji5~��
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: 7)B&(2�D&�
文件版本:5.2.3790.1830 �5JS Z�LC
描述:Generic Host Process for Win32 Services 9�.xvV|�Sp
版权:(C) Microsoft Corporation. All rights reserved. �D��W1@<X�
产品.名称:Microsoft(R) Windows(R) Operating System F(�d�:�t!
公司:Microsoft Corporation M0RRmW@f.a
木马运行后复制自身到系统目录: JD�k�CUN�5
%System%NeroCheck.exe ��t�(�}�/g
释放dll注入进程: j3
6,w[Y�:
%System%NeroCheck.dll p��`�d
XqW
以及%System%SVKP.sys文件。 +C'XS�{K,#
使用%temp%delmeexe.bat批处理删除自身: T
|37#*c��
@echo off A��s0 �B\�
:loop �C�`dkD0�_
del "exe" a*��D,*C5}
del "%temp%delmeexe.bat" ���G;/�Q>V
if exist %temp%delmeexe.bat goto loop 字串9 #S�%�4?���
木马创建以下服务: -�^yX�La;D
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] gd�l| ^*tc
显示名:Indexing Services �os[ZI�Hph
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. ,�"B?_d��6
可执行文件的路径:%System%NeroCheck.exe 3S�5^�`Ag#
清除步骤 u+��m4��!`
========== �"l�T�Z|k^
1. 删除木马的.服务项: 0mTEi���m
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] [q�1Un���m
2. 重新启动计算机 �%MN.O-Lc�
3. 删除.木马文件: 80|onP�\�L
%System%NeroCheck.exe k=?^){[�We
%System%NeroCheck.dll dXl]�Pe|v
%System%SVKP.sys |�k6��Ox*
