病毒.名称:N/A(Kaspersky) 8��.`*�O��
病毒别名:Backdoor.Jusi.i(瑞星) ?$v*_�*:2h
病毒大小:216,576 字节 Qs\m"��y�x
加壳方式:SVKP 5t��=��7�-
样本MD5:e17774b70be4427768180286a6889fae V -X���*e�
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d 7{W�#�i<�W
传播方式:恶意网页、其它病毒下载 �Cd�ZS"��I
]Lb�Fh5;�s
技术分析 b��d�'io O
========== ���k-CW?=�
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: 3�ncL35�1k
文件版本:5.2.3790.1830 kle�E\�8�_
描述:Generic Host Process for Win32 Services {TOz}=R"3h
版权:(C) Microsoft Corporation. All rights reserved. Zb&5)&'�X�
产品.名称:Microsoft(R) Windows(R) Operating System Nf��lw�mMJ
公司:Microsoft Corporation ]H {g/C{j
木马运行后复制自身到系统目录: 8x~'fzf;Sq
%System%NeroCheck.exe �lZ'Z��L*�
释放dll注入进程: �>�~}}*yp
%System%NeroCheck.dll �I+G�P`=�\
以及%System%SVKP.sys文件。 /#Gm�`B�T
使用%temp%delmeexe.bat批处理删除自身: ->9waXRDz)
@echo off q�k}Mb_*C)
:loop �']C"� 'b�
del "exe" ���"wi}/,)
del "%temp%delmeexe.bat" pr��w% )#,
if exist %temp%delmeexe.bat goto loop 字串9 HrK7q��Lw7
木马创建以下服务: �+~�n"@ /�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] /ka�� "Y�U
显示名:Indexing Services r?%,#�1|$$
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. rds��4eUxe
可执行文件的路径:%System%NeroCheck.exe 4R}$�P1 �E
清除步骤 `Lj'2�LoER
========== E��51�'TT9
1. 删除木马的.服务项: ;659��E_y>
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] hd>�_K�*oH
2. 重新启动计算机 �/A�82���~
3. 删除.木马文件: W�F_24M��w
%System%NeroCheck.exe `�p#��u9M>
%System%NeroCheck.dll Q=u [j|0mc
%System%SVKP.sys
� �[1Q:
