病毒主要特征
1.下载流氓软件和恶意插件
2.进行浏览器劫持
3.具有自我更新功能
4.修改系统时间
5.随机文件名
其中第2点，监控IE
当用IE打开以下网址时
http://www.163.com
http://www.sina.com.cn
http://www.sohu.com
http://www.qq.com
http://www.yahoo.com
http://www.taobao.com
http://www.xunlei.com
http://www.tom.com
http://www.soso.com
http://www.mop.com
http://www.vnet.cn
http://www.cmfu.com
http://www.msn.com
http://www.sogou.com
http://www.17173.com
http://www.yahoo.com.cn
http://www.zhongsou.com
http://www.5show.com
http://www.google.com
http://caiyi8.com
http://magazine.zcom.com
自动弹出窗口显示http://u.x-push.net/dg/full3/index_mosa_vip_4156_uid__bid_.html

当用IE打开以下网址时
http://www.phoenixtv.com
http://www.126.com
http://www.chinaren.com
http://www.eastmoney.com
http://www.pconline.com.cn
http://www.263.com
http://www.51.com
http://www.paipai.com
http://www.chinamobile.com
http://www.hexun.com
http://www.265.com
http://www.4399.com
http://www.soufun.com
http://www.chinahr.com
http://www.bokee.com
自动弹出窗口显示http://www.cneqiso.com

在使用IE打开任意网页时 添加窗口广告
指向hxxp://www.kuailao.com/images/jgl.gif

病毒分析报告
File: ks8j3jsisd.exe
Size: 43353 bytes
Modified: 2004年6月1日, 19:31:52
MD5: 1D1D0F041027A1C0EEE2CD2A94612CC9
SHA1: EE61177BD9B1B559F12B26D0483359ED59A7F71F
CRC32: 34DE2378

运行后
创建服务
ks8j3jsisd
释放
C:\WINDOWS\system32\df33sdg.dll
C:\WINDOWS\system32\dgd4bs.exe
C:\WINDOWS\system32\kF11ug0J.dll
C:\WINDOWS\system32\ks8j3jsisd.exe

C:\WINDOWS\system32\df33sdg.dll插入winlogon进程

C:\WINDOWS\System32\ersvc.dll创建服务ERSvc
服务相关键值
HKLM\SYSTEM\ControlSet001\Services\ERSvc\Enum\0: "Root\LEGACY_ERSVC\0000"
HKLM\SYSTEM\ControlSet001\Services\ERSvc\Enum\Count: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\ERSvc\Enum\NextInstance: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\ERSvc\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00

00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00

02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01

0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05

0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00

00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\ControlSet001\Services\ERSvc\Parameters\ServiceDll: "%SystemRoot%\System32\ersvc.dll"
HKLM\SYSTEM\ControlSet001\Services\ERSvc\DependOnService: 'RpcSs'
HKLM\SYSTEM\ControlSet001\Services\ERSvc\Description: "服务和应用程序在非标准环境下运行时允许错误报告

。"
HKLM\SYSTEM\ControlSet001\Services\ERSvc\DisplayName: "Error Reporting Service"
HKLM\SYSTEM\ControlSet001\Services\ERSvc\ErrorControl: 0x00000000
HKLM\SYSTEM\ControlSet001\Services\ERSvc\ImagePath: "%SystemRoot%\System32\svchost.exe -k netsvcs"
HKLM\SYSTEM\ControlSet001\Services\ERSvc\ObjectName: "LocalSystem"
HKLM\SYSTEM\ControlSet001\Services\ERSvc\Start: 0x00000002
HKLM\SYSTEM\ControlSet001\Services\ERSvc\Type: 0x00000020

监控IE（劫持选项见特征）

改变系统日期 把年份往前调 月 日 不变
由winlogon控制explorer连接网络60.12.164.91:80 首先下载http://www.xxxxlao.com/ala//jdupdate.txt读取配置文件

然后检验主程序ks8j3jsisd.exe(随机字母数字组合的）是否为最新版本 如果不是则下载

http://union.xxxxlao.com/download/alading.exe更新自身

设置http://ant.sina.union123.com/indax.html为IE主页

在IE收藏夹中添加：
最新图铃下载
http://u.7town.com/Pub/mms/1855/index.html?uid=19612&a=&b=&c=&d=&e=&f=
实用网址之家
http://www.guge999.com
手机图铃下载
http://img.zhangxiu.com/2/394.html?f=11804

在桌面上建立一个名为的Internet Explorer的快捷方式指向
http://ant.sina.union123.com/indax.html

下载http://union.xxxxlao.com/download/soft229.exe
http://union.xxxxlao.com/download/cnnic.exe
http://ala.xxxxso.com/tttt.exe
到系统文件夹
分别命名为ccctvv1.exe~ccctvv3.exe

ccctvv2.exe为中文上网插件

ccctvv3.exe释放setup.exe和ie020.exe这两个实质上是ie222公司出的流氓软件

木马和流氓软件都植入完毕后的sreng日志如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
          [(Verified)China Internet Network Information

Center]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
          []
服务
[ks8j3jsisd / ks8j3jsisd][Stopped/Auto Start]
   
[Error Reporting Service / ERSvc][Running/Auto Start]
    %SystemRoot%\System32\ersvc.dll>
驱动
[cnprov / cnprov][Running/Boot Start]
    <\SystemRoot\system32\drivers\cnprov.sys><中国互联网络信息中心(CNNIC)>
[idnaux / idnaux][Running/Auto Start]
    <中国互联网络信息中心(CNNIC)>
浏览器加载项
[IEAux Class]
    {7605CC7C-00FD-4A5F-BAFD-828342DE6279}
[TBSB04805 Class]
    {FA91DE7A-D85F-4F35-8204-4D7C957A154B}
[工具栏(T)]
    {42A2F05F-E171-4CEF-852F-02475F698C24}
[中文上网]
    {B012491E-8FA4-4851-AA9B-22E33784FBAD}

(CNNIC)>
[工具栏(T)]
    {42A2F05F-E171-4CEF-852F-02475F698C24}
[工具栏(T)]
    {42A2F05F-E171-4CEF-852F-02475F698C24}
[IEAux Class]
    {7605CC7C-00FD-4A5F-BAFD-828342DE6279}
[TBSB04805 Class]
    {FA91DE7A-D85F-4F35-8204-4D7C957A154B}
[&访问通用网址]
   
被安装了中文上网插件和搜索栏工具条

解决方法：
由于安装了中文上网插件和搜索栏工具条
我们需要使用一些流氓软件清理的工具进行清理
因为对一些流氓软件来讲释放的文件多 添加的注册表项也多 很难像病毒那样手动清理干净
1.清理木马

安全模式下(开机后不断 按F8键    然后出来一个高级菜单 选择第一项 安全模式 进入系统)
首先把系统日期调回来
然后打开sreng

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
ks8j3jsisd / ks8j3jsisd
Error Reporting Service / ERSvc

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件

（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定

打开任务管理器 （Ctrl+alt+del）
结束Explorer进程
单击 任务管理器 菜单栏 文件 浏览 找到
C:\WINDOWS\system32\df33sdg.dll
C:\WINDOWS\system32\dgd4bs.exe
C:\WINDOWS\system32\idnreg.dll
C:\WINDOWS\system32\kF11ug0J.dll
C:\WINDOWS\system32\ks8j3jsisd.exe
C:\WINDOWS\system32\netexe.exe
C:\WINDOWS\system32\netjsp.dll
C:\WINDOWS\system32\sddftj.dat
C:\WINDOWS\system32\YQGWOFVMDTKAQHX.DLL
C:\WINDOWS\System32\ersvc.dll
C:\WINDOWS\system32\ccctvv1.exe~ccctvv3.exe
右键删除他们

再次打开打开sreng
启动项目    注册表
双击shell 把其键值改为Explorer.exe

清理IE收藏夹 以及桌面上被添加的Internet Explorer的快捷方式
2.清理流氓软件
经过测试 金山新出的
金山毒霸清理专家2.0 可以完全清理被安装的流氓软件和恶意插件（非广告，而是测试而得）
360安全卫士 由于安装了中文上网的原因 无法运行
卡卡上网安全助手不能完全清除中文上网的驱动

点击金山毒霸清理专家2.0的恶意软件查杀 全选 清除选定项 重启即可

以上提到的软件均可到down.45it.com下载。