病毒.名称:N/A(Kaspersky) _�i05'��_�
病毒别名:Backdoor.Jusi.i(瑞星) FCE�y1^��u
病毒大小:216,576 字节 %�~!4DXrMk
加壳方式:SVKP �1+FVM\�<&
样本MD5:e17774b70be4427768180286a6889fae �Ul}RT xJ�
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d � ��k[r^@|
传播方式:恶意网页、其它病毒下载 vE�:*{G;Y�
k�eAoJeG,J
技术分析 E�Qm�{qc;�
========== +�fK��OX#%
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: 6.D|�\;9{c
文件版本:5.2.3790.1830 cpdESc9W��
描述:Generic Host Process for Win32 Services X4V>�qHV72
版权:(C) Microsoft Corporation. All rights reserved. �5#DMizv6�
产品.名称:Microsoft(R) Windows(R) Operating System �eY��Ub>M)
公司:Microsoft Corporation !�D??Y^6bI
木马运行后复制自身到系统目录: �Nz�
d�N4+
%System%NeroCheck.exe ��ukiWNF/�
释放dll注入进程: w2DC5e�i�'
%System%NeroCheck.dll �m/=n��z�.
以及%System%SVKP.sys文件。 �h&>3;�Lj�
使用%temp%delmeexe.bat批处理删除自身: }Dh�q�z�Kl
@echo off 2&1mI>�:F�
:loop �/lBK ��)(
del "exe" :?Ns>#�6�t
del "%temp%delmeexe.bat" ;U* /\+*h�
if exist %temp%delmeexe.bat goto loop 字串9 p!UR;xHI\
木马创建以下服务: Ob$``31�{s
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] <�z<>E1ZLI
显示名:Indexing Services r:H]`Uo'r�
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. =-U0r$sK+F
可执行文件的路径:%System%NeroCheck.exe [H�h�-F#|R
清除步骤 |� b'Ut)�E
========== x92�^0c�Mf
1. 删除木马的.服务项: #�V>R�#Oh}
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] *tXyd<_�Hd
2. 重新启动计算机 ;R?���@
D]
3. 删除.木马文件: 0S{23L�4C�
%System%NeroCheck.exe 8�b/�$Qp4d
%System%NeroCheck.dll w!f2~�j�~�
%System%SVKP.sys �,�L�<��JG
