from:http://bbs.2dai.com/thread-663358-1-1.html
                                                                                                                                                                                                                                                                                                                        这是一个木马下载者病毒，通过替换微软相关服务启动自身，同时具有反病毒软件和关闭指定窗口的作用，值得一提的是关闭的窗口的关键字中含有某些与色情有关的关键字，因此本文题目中的AV自然就有了两种含义...

File: OiZQdnX.com
Size: 68096 bytes
Modified: 2007年11月9日, 18:13:47
MD5: 7BBF143B15089D0ADA39A323429BC7C4
SHA1: 2B3BE95F577AF7D22FDBA12454E6CFF61F023693
CRC32: C534F3F1

技术细节：
1、释放病毒副本：
%systemroot%\system32\KK.dll

2.调用TerminateProcess函数关闭如下进程
360safe.exe
360tray.exe
Ras.exe
runiep.exe

3.注册表变化
创建HKLM\SYSTEM\ControlSet001\Control\GetData在其写入与下载有关的一些配置信息
修改HKLM\SYSTEM\ControlSet001\Services\BITS（与windows update有关的一个服务）的相关键值
使得其加载的dll改为%systemroot%\system32\KK.dll 达到开机启动自身的目的
并把该服务的启动类型改为“自动”

4.将KK.dll注入到IE中，通过IE实现下载行为

5.在系统盘下面释放KKSoft.bat删除自身

6.关闭带有如下关键字的窗口（与后面的下载行为有关）
病毒
杀毒
色情
强奸
做爱
奇虎360

7.不定时弹出某个网站页面

8.下载行为分析：
病毒联网后会下载http://*.cn/data.txt的配置文件

其中里面详细描述了病毒的其他一些行为
[Homepage]--描述了病毒锁定的主页地址（目前为空）
[runie] close=...  --描述了病毒关闭的指定窗口的名称
[DownloadFile]--描述了下载的木马程序的路径
[showie]--描述了定期弹出的窗口或网站的地址

下载后的病毒（木马）会释放到windows下的Temp目录下
并分别命名为*kf（*代表数字）

待所有木马植入完毕以后，sreng日志如下
启动项目
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{25799B4A-E35A-4A34-BFE5-07C0784C37C7}><%Program Files%\Internet Explorer\PLUGINS\WinSys8x.Sys>  []
==================================
服务
[Background Intelligent Transfer Service / BITS][Running/Auto Start]
  <%systemroot%\system32\svchost.exe -k netsvcs-->%systemroot%\system32\KK.dll><N/A>
[Windows Accounts Driver / WindowsRemote][Running/Auto Start]
  <%systemroot%\system32\1kf.exe><N/A>
[Transaction Provisioning Service / 919mm][Running/Auto Start]
  <%systemroot%\system32\3kf.exe><N/A>

解决办法：
下载sreng:http://download.kztechs.com/files/sreng2.zip

启动计算机进入安全模式下(开机后不断 按F8键  然后出来一个高级菜单 选择第一项 安全模式 进入系统)

1.打开sreng
启动项目  注册表 删除如下项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{25799B4A-E35A-4A34-BFE5-07C0784C37C7}><%Program Files%\Internet Explorer\PLUGINS\WinSys8x.Sys>  []

在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
[Windows Accounts Driver / WindowsRemote][Running/Auto Start]
  <%systemroot%\system32\1kf.exe><N/A>
[Transaction Provisioning Service / 919mm][Running/Auto Start]
  <%systemroot%\system32\3kf.exe><N/A>

2.双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击  菜单栏下方的 文件夹按钮（搜索右边的按钮）
在左边的资源管理器中单击系统所在盘
删除如下文件
%systemroot%\system32\KK.dll
%systemroot%\system32\1kf.exe
%systemroot%\system32\3kf.exe
%Program Files%\Internet Explorer\PLUGINS\WinSys8x.Sys

在左边的资源管理器中单击E盘（如果有的话）
删除如下文件
E:\autorun.inf
E:\Autorun.exe

3.开始--运行 输入regedit打开注册表编辑器
展开HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS （X代表数字）
找到Parameters子键
把ServiceDll的键值改为%systemroot%\system32\qmgr.dll