病毒名稱：Trojan-PSW.Win32.OnLineGames.qw [dll]（Kaspersky）, Rootkit.Win32.Agent.fy [sys]（Kaspersky）
　　病毒別名：Trojan.PSW.Win32.JHOnline.a [exe]（瑞星）, Trojan.PSW.Win32.OnlineGames.dba [dll]（瑞星）
　　　　　 Trojan.PSW.Win32.JHOnline.a [sys]（瑞星）
　　病毒大小：49,664 字節(jié)
　　加殼方式：
　　樣本MD5：335838f3badbc6532211e19988f008a9
　　樣本SHA1：1c13b0d60b8838dcb5581e21f0526b1d6412a5d8
　　發(fā)現(xiàn)時間：2007.7
　　更新時間：2007.7
　　關聯(lián)病毒：
　　傳播方式：通過惡意網(wǎng)站傳播，其它木馬下載


　　技術(shù)分析
　　==========

　　木馬運行后復制自身到系統(tǒng)目錄下：
　　%Windows%\system\SMSS.exe
　　并釋放dll：
　　%Windows%\system\hook.dll

　　在當前位置釋放驅(qū)動fOxkb.sys：


　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fOxkb]

　　木馬隱藏自身進程，在任務管理器、ProceXP等進程管理程序中不可見。

　　創(chuàng)建啟動項：


　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QQREST"="%Windows%\system\SMSS.exe"

　　約每5秒重寫一次。


　　清除步驟
　　==========

　　1. 使用IceSword結(jié)束木馬進程：
　　%Windows%\system\SMSS.exe

　　2. 刪除文件(如遇提示無法刪除文件，到down.45it.com下載費爾木馬強制刪除器工具進行強制刪除)：
　　%Windows%\system\SMSS.exe
　　%Windows%\system\hook.dll

　　3. 刪除木馬啟動項（詳細步驟：打開SREng－啟動項目－注冊表）：SREng軟件也可到down.45it.com下載


　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QQREST"="%Windows%\system\SMSS.exe"

　　4. 刪除注冊表中木馬添加的驅(qū)動信息（詳細步驟：打開SREng－啟動項目－驅(qū)動程序）：
　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fOxkb]

　　5. 刪除木馬釋放的驅(qū)動文件(如遇提示無法刪除文件，到down.45it.com下載費爾木馬強制刪除器工具進行強制刪除)：
　　fOxkb.sys

最新評論