病毒.名称:N/A(Kaspersky) �6Sh0�%F�s
病毒别名:Backdoor.Jusi.i(瑞星) -ec�~�~9�5
病毒大小:216,576 字节 VmLV:"P}^�
加壳方式:SVKP �A&#�P=m�j
样本MD5:e17774b70be4427768180286a6889fae %;UE�y�j��
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d 2.=3:q!H<%
传播方式:恶意网页、其它病毒下载 9/OB!<*V|�
kr�kRP�%jy
技术分析 c?i=6C�dD'
========== 73?ZB+\)0A
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: ^
q]BCOfJ(
文件版本:5.2.3790.1830 �GWZ0!�V��
描述:Generic Host Process for Win32 Services Ds|/\cI$%a
版权:(C) Microsoft Corporation. All rights reserved. vpOn0([hS�
产品.名称:Microsoft(R) Windows(R) Operating System 4&IBNc,sn
公司:Microsoft Corporation j_�PICv�*6
木马运行后复制自身到系统目录: ��K'[�H`x^
%System%NeroCheck.exe Fx�']kn��9
释放dll注入进程: �^E�&'�:6(
%System%NeroCheck.dll F�HVZ/� �e
以及%System%SVKP.sys文件。 @�,i_
KN6C
使用%temp%delmeexe.bat批处理删除自身: o�/E��A%q1
@echo off 8�UAr�l��3
:loop ,5�" vzGLJ
del "exe" �=�:rR%L!a
del "%temp%delmeexe.bat" �0Zkb}F�2-
if exist %temp%delmeexe.bat goto loop 字串9 �~8AcW�?4Z
木马创建以下服务: Gd$o�d�KtI
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] +:4J�~Cuf�
显示名:Indexing Services 1<_�i7.{�k
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. <�lh+mrXm
可执行文件的路径:%System%NeroCheck.exe 24_F`" :-=
清除步骤 g_Wf3o857J
========== 8M� �m,�a
1. 删除木马的.服务项: *
";A~XNx�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] N%{&%�C�6{
2. 重新启动计算机 �lJ�!+n<K+
3. 删除.木马文件: {uEu
^�6a5
%System%NeroCheck.exe J2��_D��P
%System%NeroCheck.dll �T_CYSS|fX
%System%SVKP.sys s$e0;C!�D�
