病毒.名称:N/A(Kaspersky) �^=#!D[xj>
病毒别名:Backdoor.Jusi.i(瑞星) (v|`Lm��V
病毒大小:216,576 字节 co�O.kTO;
加壳方式:SVKP (6[Wr}S�W5
样本MD5:e17774b70be4427768180286a6889fae %f#\i#G<�k
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d ;Yu�>82o.:
传播方式:恶意网页、其它病毒下载 wKrdcWI�,Z
C!kbZTO[p"
技术分析 WV~SL/k|��
========== -~]^5�aa5n
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: �@�Yr�Gy�q
文件版本:5.2.3790.1830 >!G5]?taa�
描述:Generic Host Process for Win32 Services ?7 X3���P�
版权:(C) Microsoft Corporation. All rights reserved. s|p(K�Wo2U
产品.名称:Microsoft(R) Windows(R) Operating System �a5�I%R�Y
公司:Microsoft Corporation �j>g9\i0O1
木马运行后复制自身到系统目录: =KW|#]RB^
%System%NeroCheck.exe 4=�
$!_,.�
释放dll注入进程: SJF�2k[d�a
%System%NeroCheck.dll �OMxxI�6h
以及%System%SVKP.sys文件。 p�|;o5�j�{
使用%temp%delmeexe.bat批处理删除自身: ^1v�q{/ X
@echo off mlm�nkgl
]
:loop �(T;1q^j�
del "exe" :!hk~#yvJ9
del "%temp%delmeexe.bat" �iQ0&�W0D]
if exist %temp%delmeexe.bat goto loop 字串9 ��
z8tt+AU
木马创建以下服务: wtUG^hV #_
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] ;q�^�,�[(8
显示名:Indexing Services B�4 <_"��0
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. PKATw�>zg<
可执行文件的路径:%System%NeroCheck.exe n_ �O�UWvs
清除步骤 ����;p��.j
========== I>8��B��c�
1. 删除木马的.服务项: 6vZt43"m?\
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] @��nW�'(x(
2. 重新启动计算机 ~�v,!n�/('
3. 删除.木马文件: /��.��f!��
%System%NeroCheck.exe �r6<ArX$Yl
%System%NeroCheck.dll UFJEs[?+Te
%System%SVKP.sys r$Kh3EEF`E
