原本我也找不到2345的样本~,结果在准备 “手杀下载者凑牛氓” 的时候无意发现我电脑居然有个2345样本，汗死……
给大家说下找这个样本的技巧


这样改一下啊，然后看看你C:\Program Files这个路径下有木有奇怪的东东

拷贝了一份样本方便作死

然后发现这个样本的属性为系统文件、隐藏文件，用attrib -s -h处理一下~~~
这个我还录了个视屏啊，看不懂文字的去看看视屏吧

双击样本静观作死，发现多了个2345网址导航

戳开看看，发现是个导航，话说2345域名真多……

另外有人问：
http://www.9991.com/?k17600808220后面的?k17600808220是什么鬼，那天在某位大婶的博客里特意问了下，他回答我是百度网(liu)站(mang)联盟用来统计来源的~~~

右键打开文件位置追进分析这个东东

发现有个run参数啊，这个东西说真的让我很疑惑，到底是什么意思，百度run参数有什么用处，也没找到相关的内容。前两天分别在贴吧和博客找了末风吟和王And木，两人的意见都是类似run这种启动参数要看软件本身是怎么设置的，不同软件的参数代表不同的意思。一语惊醒梦中人，感谢二位在我的电脑之旅上一直为我指点明津。
开OD看了下确实有传递启动参数这个举动，那么看看这个run参数有什么用

经测试run参数只是简单的打开了http://www.9991.com/?k17600808220这个网址
然而俺们又发现
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\2345网址导航
目录（传说中的开始菜单哒目录哦）下哒两个东西

然后就发现这个加了run参数，加了uninstall参数的快捷方式都是指向了同一个文件，对比MD5可以发现这个指向的这个文件与我最初戳的样本MD5是一样的，这就说明这两个是同一个文件~
有意思，同一个软件有三种不同的状态，这个在软件开发中很少用这么牛掰的方法吧……
戳一下卸载哒快捷方式结束这个渣渣

这是欺负我数序不及格咩……

综上所属，查杀位置：
1、删除你下载到的安装包
2、检查如下位置：C:\Program Files是否存在隐藏的系统文件2345_k17600808220_desk.exe
3、检查desktop.ini(哪个大牛给咱看看到底是哪个ini)
4、经测试早期样本存在自启，用360管理一下即可
5、C:\Users\Administrator\AppData\Roaming
6、C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu

然后~~~
猜测下2345如此的做法
采用一个可执行文件，降低了杀软查杀率(不加参数谁知道是什么鬼)，采用自复制+启动参数的运行方式，避免了下载过程，提高了使用效率，无视了HIPS拦截联网的过程，如果有人删掉快捷方式去戳不加参数的样本，只会再次生成快捷方式~

帮语双老师拉个票

支持语双、投票方式：
移动用户请编辑短信“LW20017155”发送到“10657200606”（分开记 10657 200 606）
联通、电信用户请编辑短信“LW20017155”发送到“106902306187491237”（分开记 10690 230 6187 491237）
注：
1.每个手机号码每天仅能给同一作品投一票（每天可投一票哦）。
2.投票支持截止时间: 9月10日。
语双的博客：
http://wys.me/
感兴趣可以戳过去看看

附视屏一份：
http://pan.baidu.com/s/1dDdgfJF