病毒.名称:N/A(Kaspersky) �p�m}!?TL
病毒别名:Backdoor.Jusi.i(瑞星) �tO]`
�I-�
病毒大小:216,576 字节 4^��Gh�n��
加壳方式:SVKP :s`\j����J
样本MD5:e17774b70be4427768180286a6889fae }dO^q�-t$3
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d ���9?#�L�/
传播方式:恶意网页、其它病毒下载 �7!-y�72qx
63n<4VSH��
技术分析 Vpsv�@\@J>
========== pt�+[BF�6P
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: �"8h�7"�WR
文件版本:5.2.3790.1830 2^C>o�rKQ0
描述:Generic Host Process for Win32 Services `+O7IyTM�A
版权:(C) Microsoft Corporation. All rights reserved. q+Cq&|4
?2
产品.名称:Microsoft(R) Windows(R) Operating System o$�_,2$>mn
公司:Microsoft Corporation TEi�~X��2u
木马运行后复制自身到系统目录: b���y�8~'?
%System%NeroCheck.exe 01"� b9`jU
释放dll注入进程: Zj�x:1c= b
%System%NeroCheck.dll x)Ls(Xh+�g
以及%System%SVKP.sys文件。 ��v�Zl]C�%
使用%temp%delmeexe.bat批处理删除自身: .#A�So!O5q
@echo off hIv8A�_>@`
:loop I,d5��Y3mC
del "exe" V,qc�[*_3�
del "%temp%delmeexe.bat" mh=YrDU+L�
if exist %temp%delmeexe.bat goto loop 字串9 �]~1�Xx:X-
木马创建以下服务: P\R#!+FgW8
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] KWH l+p�L
显示名:Indexing Services ��q:/<�^�|
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. wio}<�Y6Xz
可执行文件的路径:%System%NeroCheck.exe _��]# �^2S
清除步骤 �zs�~�v6y@
========== ��zwa�%�$U
1. 删除木马的.服务项: K6l�{wyMb|
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �~t-!�{��F
2. 重新启动计算机 � *c6o#[l�
3. 删除.木马文件: eAD �uk!Iq
%System%NeroCheck.exe j"c30��AY�
%System%NeroCheck.dll 1f��zHm�D�
%System%SVKP.sys l4�+B�s!i`
