病毒.名称:N/A(Kaspersky) n�c%ly �*�
病毒别名:Backdoor.Jusi.i(瑞星) B1a�&'�WX?
病毒大小:216,576 字节 ��|X�l,~-.
加壳方式:SVKP �4*�9:���
样本MD5:e17774b70be4427768180286a6889fae 1PJ8O|Z�t8
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d d/:z�O4v�3
传播方式:恶意网页、其它病毒下载 P�(za8l��>
ws$!-t�4<(
技术分析 �t6�O/Q�0_
========== l]o&�D))R
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: �}x1p�~N+;
文件版本:5.2.3790.1830 "5R8���Zl+
描述:Generic Host Process for Win32 Services /S+gh;2O�C
版权:(C) Microsoft Corporation. All rights reserved. l �%{$CmG\
产品.名称:Microsoft(R) Windows(R) Operating System G@igxn�m}�
公司:Microsoft Corporation �I�-
��X|-
木马运行后复制自身到系统目录: u!&Vbo? .B
%System%NeroCheck.exe ?��y��t��"
释放dll注入进程: mam2�]St"�
%System%NeroCheck.dll )fz<n$3|$#
以及%System%SVKP.sys文件。 CzZm�C��]5
使用%temp%delmeexe.bat批处理删除自身: 38T��2IN��
@echo off 9�*��}?0J8
:loop �=��-dk@s�
del "exe" �}�$|�uIS�
del "%temp%delmeexe.bat" !jx�z���2Q
if exist %temp%delmeexe.bat goto loop 字串9 {�!�hA^[}|
木马创建以下服务: ^g�2p���!7
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] #b4P�n`[��
显示名:Indexing Services @�l:\Ka~TS
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. s9A���q-�N
可执行文件的路径:%System%NeroCheck.exe �YS5�Pt)�?
清除步骤 2�9E9ZjS�K
========== P=V=\T�<4_
1. 删除木马的.服务项: �)0JXU�C e
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] dF%sD|<)�
2. 重新启动计算机 %O�t^�G%34
3. 删除.木马文件: 438+�zU���
%System%NeroCheck.exe 9RoN,e8!�
%System%NeroCheck.dll B�JI
R !J
%System%SVKP.sys +�;J�b��)8
