病毒.名称:N/A(Kaspersky) GKm)wOb(*S
病毒别名:Backdoor.Jusi.i(瑞星) ~/gq�X�T">
病毒大小:216,576 字节 ��;.m"y�-�
加壳方式:SVKP 5)EnO�T"'�
样本MD5:e17774b70be4427768180286a6889fae Jkp�A�
\<
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d ];(w8��l��
传播方式:恶意网页、其它病毒下载 03{e[#�6��
�=SLJkw&w6
技术分析 *y�.KD4@�{
========== Tw�|=;���m
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: K�S%xo6�k.
文件版本:5.2.3790.1830 zJtYy4j�I)
描述:Generic Host Process for Win32 Services -LQ%)'J ZN
版权:(C) Microsoft Corporation. All rights reserved. 'fZH�tnmc0
产品.名称:Microsoft(R) Windows(R) Operating System L+d_+:�w��
公司:Microsoft Corporation Y$%��Ze]~�
木马运行后复制自身到系统目录: �4xg%O��H�
%System%NeroCheck.exe �9n44 *sZ�
释放dll注入进程: `_�z8DA}�E
%System%NeroCheck.dll j�63w(Jv/�
以及%System%SVKP.sys文件。 <�51�(�q_f
使用%temp%delmeexe.bat批处理删除自身: z^=9�%tLJ
@echo off �yP�uT%H&i
:loop 3<?(1kSo>>
del "exe" 3O$Q>.0�w/
del "%temp%delmeexe.bat" e'�g-m�Rh�
if exist %temp%delmeexe.bat goto loop 字串9 z`�{Ld9��W
木马创建以下服务: @YV�-8;hO�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] cojuU�=��i
显示名:Indexing Services ]LN�P�"vi;
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. z)��Bc91A�
可执行文件的路径:%System%NeroCheck.exe =[v�T=sHz7
清除步骤 Q- j+#NGc
========== l��wjg��57
1. 删除木马的.服务项: u'P@3'��P�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] +Fy�G{1?<�
2. 重新启动计算机 R%54�!f0
%
3. 删除.木马文件: H�z+edM�UL
%System%NeroCheck.exe �H@���MUzV
%System%NeroCheck.dll o�GXT,38*�
%System%SVKP.sys e|xRK?aVBu
