病（bìng）毒.名稱：N/A（Kaspersky）

病毒（dú）別名：Backdoor.Jusi.i（瑞星）

病（bìng）毒大小：216,576 字節（jiē）

加殼方式：SVKP

樣本MD5：e17774b70be4427768180286a6889fae

樣本SHA1：408004ef3de3eb50dd0ebfc3885ed319301e223d

傳播方式：惡意網（wǎng）頁、其它病毒下載

技術分（fèn）析

==========

這又是一個版本信息模仿微軟（ruǎn）的（de）木（mù）馬，在文件屬（shǔ）性的.版本裏可以看到（dào）如下版本信息：

文件版本：5.2.3790.1830

描（miáo）述：Generic Host Process for Win32 Services

版權：(C) Microsoft Corporation. All rights reserved.

產品.名（míng）稱（chēng）：Microsoft(R) Windows(R) Operating System

公（gōng）司（sī）：Microsoft Corporation

木馬運行後複（fù）製自身到係統目錄：

%System%NeroCheck.exe

釋放dll注（zhù）入進程：

%System%NeroCheck.dll

以及%System%SVKP.sys文件。

使用%temp%delmeexe.bat批處（chù）理刪除自身：

@echo off

:loop

del "exe"

del "%temp%delmeexe.bat"

if exist %temp%delmeexe.bat goto loop

木馬創建以下服務：

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc]

顯示名：Indexing Services

描述：Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language.

可執行文件的路徑：%System%NeroCheck.exe

清（qīng）除步（bù）驟

==========

1. 刪除木馬的.服務項：

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc]

2. 重新啟動（dòng）計算機

3. 刪除.木馬文件：

%System%NeroCheck.exe

%System%NeroCheck.dll

%System%SVKP.sys