病毒.名称:N/A(Kaspersky) E���vg_q�>
病毒别名:Backdoor.Jusi.i(瑞星) S(*sw
0O@+
病毒大小:216,576 字节 %�_%Q�8,W�
加壳方式:SVKP hR�D�=Y<>A
样本MD5:e17774b70be4427768180286a6889fae �M:�[ %[+6
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d I7n"�&{s"*
传播方式:恶意网页、其它病毒下载 (<xf�CH
F5
�EWkLX�U6t
技术分析 [QoK5Y�w{
========== CU�@Rob}�s
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: ���VoWNW��
文件版本:5.2.3790.1830 (jR�m�[7�H
描述:Generic Host Process for Win32 Services ?En O�"T.
版权:(C) Microsoft Corporation. All rights reserved. :fZ}o|�t7�
产品.名称:Microsoft(R) Windows(R) Operating System Q�Liu2U o�
公司:Microsoft Corporation 8y.w�Su��
木马运行后复制自身到系统目录: �E�nn"�hdI
%System%NeroCheck.exe 1�;Cyz��)
释放dll注入进程: LcTt�)rs
f
%System%NeroCheck.dll �O
@j} K�4
以及%System%SVKP.sys文件。 TE7nJ� �gm
使用%temp%delmeexe.bat批处理删除自身: L�>aLq�Q�3
@echo off �_����4�U5
:loop ?kH8Lw~{5W
del "exe" DpvI[r//'*
del "%temp%delmeexe.bat" �L(|N[�#
if exist %temp%delmeexe.bat goto loop 字串9 c]n1�':FT"
木马创建以下服务: 1Vrh4g�.l�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] QLvHQtzw�X
显示名:Indexing Services �J�$GUB3
G
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. 1VG4S){}\9
可执行文件的路径:%System%NeroCheck.exe 2db3I�:;E�
清除步骤 �ZQ%'�`q\c
========== � ~-��_kM�
1. 删除木马的.服务项: ��Gi?/C&1T
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] V)�~�.~2$�
2. 重新启动计算机 �E�z
fN&8E
3. 删除.木马文件: vyK7I%�T'R
%System%NeroCheck.exe �(3�Two}��
%System%NeroCheck.dll t!W��(_�8j
%System%SVKP.sys C�UBEW~X}M
