病毒.名称:N/A(Kaspersky) +&6�R(7�XC
病毒别名:Backdoor.Jusi.i(瑞星) F'^6�ra9��
病毒大小:216,576 字节 �;7Cb!v1��
加壳方式:SVKP [�xe(FFl�+
样本MD5:e17774b70be4427768180286a6889fae g
<S&sY�F5
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d !ba /]�A�/
传播方式:恶意网页、其它病毒下载 C�bv$O� o*
#�E�Q�wl�6
技术分析 �u�/-u��l
========== b��+�bgGLo
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: �3WZdP[o�!
文件版本:5.2.3790.1830 ZV=O oL�t,
描述:Generic Host Process for Win32 Services E%@�,n9T~"
版权:(C) Microsoft Corporation. All rights reserved. 7D PKKv�Q
产品.名称:Microsoft(R) Windows(R) Operating System ,��Dd�
)=
公司:Microsoft Corporation 6c>cq\~�E�
木马运行后复制自身到系统目录: SIQ�7oxS4
%System%NeroCheck.exe q$6fb)2I]e
释放dll注入进程: "�Qj;�pqR
%System%NeroCheck.dll r%QTUuRXC3
以及%System%SVKP.sys文件。 In<L?U?([D
使用%temp%delmeexe.bat批处理删除自身: sH(@X<{p��
@echo off =|_:H�$94�
:loop ��-T3 z@k�
del "exe" �=aR'S��\<
del "%temp%delmeexe.bat" BV�_rk^}Ur
if exist %temp%delmeexe.bat goto loop 字串9 ~5�g2�~.&*
木马创建以下服务: ' P5t�tI#|
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] zg L0v5vk�
显示名:Indexing Services {=�};<�;_F
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. Qk�2^p^ T6
可执行文件的路径:%System%NeroCheck.exe +Ex��X�hT�
清除步骤 }QrBN:a�$(
========== ~IrrX,m�p:
1. 删除木马的.服务项: L@xag-�b
i
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] ^oaFnzJd�f
2. 重新启动计算机 ��B7HN�N�X
3. 删除.木马文件: W?i�s8�r�:
%System%NeroCheck.exe Hs,pY(�l�^
%System%NeroCheck.dll rV;X1x��}l
%System%SVKP.sys Z&BJ/qk
\-
