Trojan.Win32.Pakes.btu

文件名称：随机命名

 

文件大小：98304 bytes

 

AV命名：Trojan.Win32.Pakes.btu   Kaspersky

 

加壳方式：未知

 

病毒类型：IRCBot

 

行为：

 

1、释放病毒副本：

 

C:\windows\system32\izlosminud.exe 98304 bytes

 

2、添加注册表，开机启动：

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

 

<izlosminud><C:\windows\system32\izlosminud.exe>

 

文件名为随机字母组成。

 

3、注册系统服务，以服务方式加载：

 

项名称:             HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ix6yyugoa
类别名:         <无类别>

值 0
名称:            Type
类型:            REG_DWORD
数据:            0x10

值 1
名称:            Start
类型:            REG_DWORD
数据:            0x2

值 2
名称:            ErrorControl
类型:            REG_DWORD
数据:            0x0

值 3
名称:            ImagePath
类型:            REG_EXPAND_SZ
数据:            C:\windows\system32\izlosminud.exe /service

值 4
名称:            DisplayName
类型:            REG_SZ
数据:            Print Spooler Service

值 5
名称:            ObjectName
类型:            REG_SZ
数据:            LocalSystem

 

服务名称为随机命名

 

4、连接IRC服务器（8irc.*s\8irc.*7）接受远程控制，不过未见其他举动。

 

5、扫描64.233.*.* ―66.249.*.*网段，可能会利用其他漏洞传播该病毒。

 

另外感染此病毒的计算机会向外部提交一些信息，如PC版本、物理内存、用户名称等等

 

解决方法：

 

1、下载SREng:

 

[url]http://www.kztechs.com/sreng/download.html[/url]

 

2、直接放桌面，断开网络连接。

 

3、打开SREng，删除注册表启动项：

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <izlosminud><C:\windows\system32\izlosminud.exe> []

 

注意，这个名称是随机的，不固定，自己变通。。

 

4、用SREng删除服务项，名称也是随机的。。：

 

例如：

 

[Print Spooler Service / ix6yyugoa][Stopped/Auto Start]
<C:\windows\system32\izlosminud.exe /service><N/A>

 

Print Spooler Service这个是固定的。

 

5、重启计算机，删除C:\windows\system32\随机命名的病毒.exe。

 

PS：如无法清除则进安全模式