病毒.名称:N/A(Kaspersky) FivaCNA
病毒别名:Backdoor.Jusi.i(瑞星) ?QIQ,?.
病毒大小:216,576 字节 y`@4n.Q
加壳方式:SVKP xY'YbHFz
样本MD5:e17774b70be4427768180286a6889fae leYmVFE
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d nT.2jk+
传播方式:恶意网页、其它病毒下载 QEHZ=Yg%3
W6/p-e5y
技术分析 Gc!{%x
========== L2O57rT2
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: 4aGpKvW
文件版本:5.2.3790.1830 rHdP4: n
描述:Generic Host Process for Win32 Services WI4_4
版权:(C) Microsoft Corporation. All rights reserved. S"A_TH
产品.名称:Microsoft(R) Windows(R) Operating System 2?nyPqT3AM
公司:Microsoft Corporation :@ 8.t,|
木马运行后复制自身到系统目录: ! tPK"k
%System%NeroCheck.exe 1:s~ ]F@
释放dll注入进程:
;Wh[q*A
%System%NeroCheck.dll [^=8k2
以及%System%SVKP.sys文件。 9* Twx&
使用%temp%delmeexe.bat批处理删除自身: i R5soIR
@echo off E|uXi)!.x
:loop VM|)\?Q
del "exe" Fl>j5[kLZ
del "%temp%delmeexe.bat" ,F9wc<V8
if exist %temp%delmeexe.bat goto loop 字串9 p[VCt" j
木马创建以下服务: EGr5xR-
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] )3\rp$]1
显示名:Indexing Services ZU@jtqq
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. &ziB#(&:H
可执行文件的路径:%System%NeroCheck.exe 8A]q!To
清除步骤 ;B7|tajd
========== "lzg@=$|)
1. 删除木马的.服务项: 5e8-?w%e
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] g\nL
n#
2. 重新启动计算机 AezXou&
3. 删除.木马文件: J;Xz'0
%System%NeroCheck.exe :*%\i' $!/
%System%NeroCheck.dll e/D\7Pf
%System%SVKP.sys Sh6 NgO