病毒.名称:N/A(Kaspersky) �(d}z>?L�
病毒别名:Backdoor.Jusi.i(瑞星) jrm
L>0NZ�
病毒大小:216,576 字节 ���\j~LxV�
加壳方式:SVKP ��I�#GsEhi
样本MD5:e17774b70be4427768180286a6889fae x�XNL�U�P
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d W=?�s-*F[~
传播方式:恶意网页、其它病毒下载 �<dX7{="&�
gpe-)hD@R
技术分析 R��iC�z��H
========== ��Z��=y^9]
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: \
Q0-�yNt
文件版本:5.2.3790.1830 a+p�_47 xa
描述:Generic Host Process for Win32 Services U?y�Kw�H^{
版权:(C) Microsoft Corporation. All rights reserved. FW!1� 0�K?
产品.名称:Microsoft(R) Windows(R) Operating System ARa�9Ia{�@
公司:Microsoft Corporation ��O�ojQG�
木马运行后复制自身到系统目录: ��D(�^ |'1
%System%NeroCheck.exe �~�e R6�[;
释放dll注入进程: `�yWWX�.`�
%System%NeroCheck.dll I cz)�Qtg|
以及%System%SVKP.sys文件。 f*G�dH�UZ*
使用%temp%delmeexe.bat批处理删除自身: �>�W�r����
@echo off �DX4"}���w
:loop #wL8=QTcNC
del "exe" I,�YP{�H�4
del "%temp%delmeexe.bat" Tz�2<# pLR
if exist %temp%delmeexe.bat goto loop 字串9 m��~��l[Y
木马创建以下服务: y3)R:h�4AH
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �7s'r3�}B`
显示名:Indexing Services x#&%l��JT
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. 7Jvb6V<��R
可执行文件的路径:%System%NeroCheck.exe qC$h�~Epp4
清除步骤 D4��W^�{/S
========== @Z�%I� g��
1. 删除木马的.服务项: h?2�:'Vu]�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] OA\
*)c+F�
2. 重新启动计算机 �09C[B+>h�
3. 删除.木马文件: ��8A�3!X�A
%System%NeroCheck.exe ]Q�b�85;0)
%System%NeroCheck.dll }�� l4d/I
%System%SVKP.sys *W�X,bN6Ot
