病毒.名称:N/A(Kaspersky) 8u�8�-:c%{
病毒别名:Backdoor.Jusi.i(瑞星) p�P�L)!=o!
病毒大小:216,576 字节 H�Q �/D�)D
加壳方式:SVKP �4g4[�n7�
样本MD5:e17774b70be4427768180286a6889fae �_�D+pJ{@W
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d >A�K9F.
_z
传播方式:恶意网页、其它病毒下载 Z9�wKjxu+�
�Fi+8|�/5�
技术分析 w'[Jf�Mu�P
========== ���o8�_�))
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: W�(�5X�cP(
文件版本:5.2.3790.1830 M>qqe!�c�*
描述:Generic Host Process for Win32 Services yz�}�ik^T�
版权:(C) Microsoft Corporation. All rights reserved. �CWBlD��z
产品.名称:Microsoft(R) Windows(R) Operating System n?Zt�\�Kto
公司:Microsoft Corporation w#6)XR|+,.
木马运行后复制自身到系统目录: u�,R�R|�/@
%System%NeroCheck.exe �=csh=V@s�
释放dll注入进程: H4B|��c�42
%System%NeroCheck.dll :j2?v(jT_l
以及%System%SVKP.sys文件。 6v�"W�I@b4
使用%temp%delmeexe.bat批处理删除自身: '/�="bS�F�
@echo off gn/�/]|#H+
:loop =[�JstiT?E
del "exe" l���XpbAW�
del "%temp%delmeexe.bat" n�(���uzqd
if exist %temp%delmeexe.bat goto loop 字串9 4�Jn+Ot.,d
木马创建以下服务: [>�$?�/D�M
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] E�)�3A�h!�
显示名:Indexing Services 8�:t!m>(�*
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. �G&Fe2&5!w
可执行文件的路径:%System%NeroCheck.exe �rU4;y�y*b
清除步骤 �-�7Bg5{FA
========== ��[K�Q�#�b
1. 删除木马的.服务项: MO^�Q 8�v�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] k��nfEb�H�
2. 重新启动计算机 M�J��"�@��
3. 删除.木马文件: +D+�v j|fn
%System%NeroCheck.exe VLP�PEV-u�
%System%NeroCheck.dll 2Tp��@;[!3
%System%SVKP.sys zMk��e}2�
