病毒.名稱：N/A（Kaspersky）

病毒別名：Backdoor.Jusi.i（瑞星）

病毒大小：216,576 字節

加殼方式：SVKP

樣（yàng）本MD5：e17774b70be4427768180286a6889fae

樣本SHA1：408004ef3de3eb50dd0ebfc3885ed319301e223d

傳播（bō）方式：惡意（yì）網頁、其（qí）它病毒（dú）下載

技術分析

==========

這又是一個版本信息模仿微軟的木（mù）馬，在文件屬性的.版本裏可以看到如下版本信（xìn）息：

文（wén）件版本：5.2.3790.1830

描述（shù）：Generic Host Process for Win32 Services

版權：(C) Microsoft Corporation. All rights reserved.

產品.名稱：Microsoft(R) Windows(R) Operating System

公司：Microsoft Corporation

木馬運行後複製自身到係統目錄：

%System%NeroCheck.exe

釋放dll注入（rù）進程：

%System%NeroCheck.dll

以及（jí）%System%SVKP.sys文件。

使用%temp%delmeexe.bat批（pī）處理刪除自身：

@echo off

:loop

del "exe"

del "%temp%delmeexe.bat"

if exist %temp%delmeexe.bat goto loop

木馬（mǎ）創（chuàng）建以下服務：

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc]

顯示名（míng）：Indexing Services

描述（shù）：Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language.

可執行文件的路徑：%System%NeroCheck.exe

清除步驟

==========

1. 刪除木馬的.服務項：

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc]

2. 重新啟動計算機

3. 刪除.木馬文件：

%System%NeroCheck.exe

%System%NeroCheck.dll

%System%SVKP.sys