Trojan.Win32.Pakes.btu病毒分析解决

 2007-12-18 21:40:10 来源：PC235.COM 您有问题？请联系我们

关 键 词：Trojan.Win32.Pakes.btu病毒分析解决

首发pc235.com转载请注明

文件名称：随机命名

文件大小：98304 bytes

AV命名：Trojan.Win32.Pakes.btu   Kaspersky

加壳方式：未知

病毒类型：IRCBot

行为：

1、释放病毒副本：

C:\windows\system32\izlosminud.exe 98304 bytes

2、添加注册表，开机启动：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

<izlosminud><C:\windows\system32\izlosminud.exe>

文件名为随机字母组成。

3、注册系统服务，以服务方式加载：

项名称:             HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ix6yyugoa
类别名:         <无类别>

值 0
名称:            Type
类型:            REG_DWORD
数据:            0x10

值 1
名称:            Start
类型:            REG_DWORD
数据:            0x2

值 2
名称:            ErrorControl
类型:            REG_DWORD
数据:            0x0

值 3
名称:            ImagePath
类型:            REG_EXPAND_SZ
数据:            C:\windows\system32\izlosminud.exe /service

值 4
名称:            DisplayName
类型:            REG_SZ
数据:            Print Spooler Service

值 5
名称:            ObjectName
类型:            REG_SZ
数据:            LocalSystem

服务名称为随机命名

4、连接IRC服务器（8irc.*s\8irc.*7）接受远程控制，不过未见其他举动。

5、扫描64.233.*.* —66.249.*.*网段，可能会利用其他漏洞传播该病毒。

另外感染此病毒的计算机会向外部提交一些信息，如PC版本、物理内存、用户名称等等

解决方法：

1、下载SREng（系统修复工程师 下载地址：http://pc235.com/Soft/or/279.html）

2、直接放桌面，断开网络连接。

3、打开SREng，删除注册表启动项：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <izlosminud><C:\windows\system32\izlosminud.exe> []

注意，这个名称是随机的，不固定，自己变通。。

4、用SREng删除服务项，名称也是随机的。。：

例如：

[Print Spooler Service / ix6yyugoa][Stopped/Auto Start]
<C:\windows\system32\izlosminud.exe /service><N/A>

Print Spooler Service这个是固定的。

5、重启计算机，删除C:\windows\system32\随机命名的病毒.exe。

PS：如无法清除则进安全模式

Trojan.Win32.Pakes.btu病毒分析解决文章结束

更多内容请看 菜鸟学堂 > > 最新病毒专题

上一个文章： 什么是ARP病毒？针对ARP病毒攻击防治的进阶经验谈

下一个文章： zgdcql55.dll,9grpmsr0va.dll,abskey.dll等病毒清除指南