文件名称：随机命名

文件大小：98304 bytes

AV命名：Trojan.Win32.Pakes.btu   Kaspersky

加壳方式：未知

病毒类型：IRCBot

行为：

1、释放病毒副本：

C:\windows\system32\izlosminud.exe 98304 bytes

2、添加注册表，开机启动：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

<izlosminud><C:\windows\system32\izlosminud.exe>

文件名为随机字母组成。

3、注册系统服务，以服务方式加载：

项名称:             HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ix6yyugoa
类别名:         <无类别>

值 0
名称:            Type
类型:            REG_DWORD
数据:            0x10

值 1
名称:            Start
类型:            REG_DWORD
数据:            0x2

值 2
名称:            ErrorControl
类型:            REG_DWORD
数据:            0x0

值 3
名称:            ImagePath
类型:            REG_EXPAND_SZ
数据:            C:\windows\system32\izlosminud.exe /service

值 4
名称:            DisplayName
类型:            REG_SZ
数据:            Print Spooler Service

值 5
名称:            ObjectName
类型:            REG_SZ
数据:            LocalSystem

服务名称为随机命名

4、连接IRC服务器（8irc.*s\8irc.*7）接受远程控制，不过未见其他举动。

5、扫描64.233.*.* —66.249.*.*网段，可能会利用其他漏洞传播该病毒。

另外感染此病毒的计算机会向外部提交一些信息，如PC版本、物理内存、用户名称等等

解决方法：

1、下载SREng（可到down.45it.com下载）

2、直接放桌面，断开网络连接。

3、打开SREng，删除注册表启动项：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <izlosminud><C:\windows\system32\izlosminud.exe> []

注意，这个名称是随机的，不固定，自己变通。。

4、用SREng删除服务项，名称也是随机的。。：

例如：

[Print Spooler Service / ix6yyugoa][Stopped/Auto Start]
<C:\windows\system32\izlosminud.exe /service><N/A>

Print Spooler Service这个是固定的。

5、重启计算机，删除C:\windows\system32\随机命名的病毒.exe。

PS：如无法清除则进安全模式