病毒.名称:N/A(Kaspersky) � +�+8 Xi1
病毒别名:Backdoor.Jusi.i(瑞星) '�f� %oL/,
病毒大小:216,576 字节 rniL+/-�uU
加壳方式:SVKP ��TO�q�x�l
样本MD5:e17774b70be4427768180286a6889fae p!T�ac%D+k
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d �Ft��:_6T%
传播方式:恶意网页、其它病毒下载 %%wn�giz�\
0��&&P+adk
技术分析 dr�wxrZt �
========== �=''*'a-�P
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: Bz:�Hp{7&
文件版本:5.2.3790.1830 d|��UH� AX
描述:Generic Host Process for Win32 Services ,g�kWks�l9
版权:(C) Microsoft Corporation. All rights reserved. U&$I!8�0�.
产品.名称:Microsoft(R) Windows(R) Operating System <A\g�*��ld
公司:Microsoft Corporation ��FS?�1O"_
木马运行后复制自身到系统目录: �S�kux&'N:
%System%NeroCheck.exe %A�&g-4(��
释放dll注入进程: <x$f��D37�
%System%NeroCheck.dll m<MN��.R7
以及%System%SVKP.sys文件。 ]8cD,�NS��
使用%temp%delmeexe.bat批处理删除自身: rX`fjS*C��
@echo off Z�iH4s��|
:loop bh�Z5-wo4%
del "exe" |NjyO>�@Pa
del "%temp%delmeexe.bat" hSh^A�5
�/
if exist %temp%delmeexe.bat goto loop 字串9 �#fyY37�-
木马创建以下服务: =7�-k�D��3
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] H3��JD�A^5
显示名:Indexing Services Ut2x��4$9�
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. A>��:31��C
可执行文件的路径:%System%NeroCheck.exe z����Fw�O(
清除步骤 �eo"XHP7ja
========== &Fm��en;(�
1. 删除木马的.服务项: OXoEA� �a�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] EScy!p�\*�
2. 重新启动计算机 f�,-'e�W/j
3. 删除.木马文件: cZt5;"xgr]
%System%NeroCheck.exe A�u )%��w
%System%NeroCheck.dll 4tapQgj24�
%System%SVKP.sys G6"4JTW�O
