病毒.名称:N/A(Kaspersky) I*0TI@��Lo
病毒别名:Backdoor.Jusi.i(瑞星) =-�;J2Qlg6
病毒大小:216,576 字节 �L+�Q.y�~�
加壳方式:SVKP c4�i�G�tW�
样本MD5:e17774b70be4427768180286a6889fae c���52S2f7
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d :tT��6V(-W
传播方式:恶意网页、其它病毒下载 �3�>%:%bP�
�mH�9_HK.C
技术分析 �l��O=~&�_
========== �h`p�XUnEZ
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: 5^Ps(8VbS�
文件版本:5.2.3790.1830 �_�e$T'�*q
描述:Generic Host Process for Win32 Services q]wP^�;\Jl
版权:(C) Microsoft Corporation. All rights reserved. F1��NYpC�R
产品.名称:Microsoft(R) Windows(R) Operating System qHE�(�p+]E
公司:Microsoft Corporation �?U(`x6\�:
木马运行后复制自身到系统目录: �nE=��,=K~
%System%NeroCheck.exe b�|�nh4g�
释放dll注入进程: Mcqym8,q|3
%System%NeroCheck.dll =48��04N�7
以及%System%SVKP.sys文件。 e�t��}%E9
使用%temp%delmeexe.bat批处理删除自身: k/�hNap'0�
@echo off kGW4kuh)/q
:loop ,o� s�M|!,
del "exe" Dg�K�e!w�$
del "%temp%delmeexe.bat" 7(B�"3qF8|
if exist %temp%delmeexe.bat goto loop 字串9 N.?�)s.�D(
木马创建以下服务: hi^t z�py
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] jn+BH�3�e�
显示名:Indexing Services Bb�*P);#.K
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. �-}9>#�<�v
可执行文件的路径:%System%NeroCheck.exe �~��
}?*v}
清除步骤 ���TgvBy��
========== �`-[|@QNFz
1. 删除木马的.服务项: �YxWA�]
yL
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �@]�@�6(To
2. 重新启动计算机 0tEe
$9eK@
3. 删除.木马文件: *#7�]PA Qw
%System%NeroCheck.exe %OAv��hutS
%System%NeroCheck.dll >%c7|\q[�R
%System%SVKP.sys %>E�M �^Z�
