病毒.名称:N/A(Kaspersky) ,f��/�IG.�
病毒别名:Backdoor.Jusi.i(瑞星) gH{\y5�%rO
病毒大小:216,576 字节 �bU4+P�A@$
加壳方式:SVKP
4qS�S<SqY
样本MD5:e17774b70be4427768180286a6889fae B�=Jd%��Av
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d Ir�w�F�
B�
传播方式:恶意网页、其它病毒下载 �H;7�H6fyZ
z`r�4edk�3
技术分析 .�&yWHdQC:
========== |�C�2.Z�ay
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: 8��5@6uB�h
文件版本:5.2.3790.1830 f s"V'E2�a
描述:Generic Host Process for Win32 Services �X8�l1x�D
版权:(C) Microsoft Corporation. All rights reserved. %"KW�j�wp�
产品.名称:Microsoft(R) Windows(R) Operating System K[|P6J ���
公司:Microsoft Corporation TcK��K��I�
木马运行后复制自身到系统目录: �?e_}X��3{
%System%NeroCheck.exe em9]WSfZ@`
释放dll注入进程: k;:u| s8NS
%System%NeroCheck.dll Mdo�W��qpC
以及%System%SVKP.sys文件。 B�o�j{+rE0
使用%temp%delmeexe.bat批处理删除自身: �sK9h=J;F/
@echo off �0!'M��#'m
:loop $Q$d�\�Yvi
del "exe" Z-p^�3t�'{
del "%temp%delmeexe.bat" zUgkY`]:BJ
if exist %temp%delmeexe.bat goto loop 字串9 �z���?_}+
木马创建以下服务: e4W];7_K!�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] ML�I�Q 8�=
显示名:Indexing Services ��{)[��g�
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. B)�cb�}.N:
可执行文件的路径:%System%NeroCheck.exe �oD}F�J�vV
清除步骤 1�H[;7@o$e
========== A`/7>'k/q[
1. 删除木马的.服务项: +#d�b_���k
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] %C]�[E��^9
2. 重新启动计算机 __��n"�DLW
3. 删除.木马文件: *U^I�`j�[u
%System%NeroCheck.exe #<>E+�r�+
%System%NeroCheck.dll L�8K�3&[l%
%System%SVKP.sys fU~y�481�A
