病毒。名称:不适用(卡巴斯基)
病毒别名:后门。Jusi.i(上升)
病毒大小:216,576字节
脱壳模式:SVKP
样本MD5:17774 b 70 be 4427768180286 a 6889 FAE
样本SHA1:408004 ef 3 de 3 EB 50 DD 0 ebfc 3885 ed 319301 e 223d
传播方式:恶意网页等病毒下载。
技术分析
==========
这是又一个模仿微软木马的版本信息。您可以在中看到以下版本信息。文件属性的版本:
文件版本:5.2.3790.1830
Description: Common host process for Win32 service.
Copyright Microsoft Corporation. All rights reserved.
Products. Name: Microsoft Windows Operating System
Company: Microsoft Corporation
特洛伊木马运行后,会将自身复制到系统目录中:
%System%NeroCheck.exe
释放dll注入过程:
%System%NeroCheck.dll
以及%System%SVKP.sys文件。
使用% templmeexe.bat批处理删除您自己:
@echo off
:loop
del 'exe'
del '%temp%delmeexe.bat'
if exist %temp%delmeexe.bat goto loop
特洛伊木马创建以下服务:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc]
Display name: indexing service
Description: Index the contents and attributes of files on local and remote computers; Provide quick access to files through flexible query language.
可执行文件的路径:% system % nerocheck.exe。
清除步骤
==========
1.删除特洛伊木马的服务项目:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc]
2.重新启动计算机
3.删除。特洛伊木马文件:
%System%NeroCheck.exe
%System%NeroCheck.dll
%System%SVKP.sys