病毒.名称:N/A(Kaspersky)  ++8	Xi1  
病毒别名:Backdoor.Jusi.i(瑞星) 'f %oL/,  
病毒大小:216,576 字节 rniL+/-uU  
加壳方式:SVKP TOqxl  
样本MD5:e17774b70be4427768180286a6889fae p!Tac%D+k  
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d Ft :_6T%  
传播方式:恶意网页、其它病毒下载 %%wngiz\  
 0&&P+adk  
技术分析 drwxrZt	  
==========  =''*'a-P  
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息:  Bz:Hp{7&  
文件版本:5.2.3790.1830 d|UH	AX  
描述:Generic Host Process for Win32 Services ,gkWksl9  
版权:(C) Microsoft Corporation. All rights reserved. U&$I!80.  
产品.名称:Microsoft(R) Windows(R) Operating System <A\g*ld  
公司:Microsoft Corporation FS?1O"_  
木马运行后复制自身到系统目录: Skux&'N:  
%System%NeroCheck.exe %A&g-4(  
释放dll注入进程: <x$fD37  
%System%NeroCheck.dll m<MN.R7  
以及%System%SVKP.sys文件。  ]8cD, NS  
使用%temp%delmeexe.bat批处理删除自身:  rX`fjS*C  
@echo off ZiH4s|   
:loop bhZ5-wo4%  
del "exe" |NjyO>@Pa  
del "%temp%delmeexe.bat" hSh^A5
/  
if exist %temp%delmeexe.bat goto loop 字串9  #fyY37-  
木马创建以下服务: =7-kD3  
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] H3JDA^5  
显示名:Indexing Services Ut2x4$9  
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. A>:31C  
可执行文件的路径:%System%NeroCheck.exe zFwO(  
清除步骤 eo"XHP7ja  
==========  &Fmen;(  
1. 删除木马的.服务项:  OXoEA a  
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] EScy!p\*  
2. 重新启动计算机  f,-'eW/j  
3. 删除.木马文件: cZt5;"xgr]  
%System%NeroCheck.exe Au	)%w  
%System%NeroCheck.dll 4tapQgj24  
%System%SVKP.sys   G6"4JTWO