病毒名称：Trojan.PSW.Win32.SunOnline.ab（瑞星）
　　病毒别名：Tojan-PWS.Win32.OnLineGames.uo（Kaspersky）
　　病毒大小：10994 bytes  
　　加壳方式：UPACK, BINARYRES
　　样本MD5：7f84234d88df5a4ce372b465b4fb825a
　　样本SHA1：828a7ef284319d145c82003b9935634212c5268b
　　编写语言：Borland Delphi 6.0-7.0  

　　行为分析：

　　病毒运行后，释放批处理C:\DeleteFileDos.bat，删除正常verclsid.exe系统文件
　　批处理内容：

@echo off :Loop attrib "C:\WINDOWS\SYSTEM32\VERCLSID.EXE" -r -a -s -h del "C:\WINDOWS\SYSTEM32\VERCLSID.EXE" if exist "C:\WINDOWS\SYSTEM32\VERCLSID.EXE" goto Loop del %0

　　释放dll文件：
　　%System32%\Kvsc32.dll
　　注入系统explorer.exe和winlogon.exe进程，监视sungames.exe进程（奇迹世界），如发现则记录键盘击键和鼠标操作，以此盗密码等用户信息

　　病毒还会生成 %System32%\kvsc3.ini配置文件，记录病毒版本等信息

　　病毒添加以下注册表项，以达到随机启动的目的：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="Kvsc32.dll" [HKEY_CLASSES_ROOT\CLSID\{54123FF1-8371-9834-9021-184518451FA5}\InProcServer32] @="%System32%\Kvsc32.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{54123FF1-8371-9834-9021-184518451FA5}"="%System32%\Kvsc32.dll"

　　病毒修改以下注册表值，禁用系统自动更新功能：

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate] "Start"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions] "Start"=dword:00000001 病毒添加以下注册表值，禁用系统防火墙： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall] "Start"=dword:00000000

　　释放批处理删除自身   

　　手动解决方法：
　　由于病毒注入了系统explorer.exe和winlogon.exe进程，监视注册表，推荐用冰刃(即IceSword120_cn.zip可到down.45its.com下载)。
　　1，用冰刃强制删除：
　　%System32%\Kvsc32.dll
　　2，用IS（IceSword120_cn.zip），进程――选中EXPLORER进程――右键:模块信息――强制卸除：

　　%System32%\Kvsc32.dll
　　3，删除文件：
　　%System32%\kvsc3.ini
　　4，删除以下注册表值（使用冰刃直接操作即可）：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall]
"Start"=dword:00000000
[HKEY_CLASSES_ROOT\CLSID\{54123FF1-8371-9834-9021-184518451FA5}\InProcServer32]
@="%System32%\Kvsc32.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{54123FF1-8371-9834-9021-184518451FA5}"="%System32%\Kvsc32.dll"
　　5，编辑以下注册表键值为空：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=" "
　　6,修改以下注册表键值，建议开启自动更新：
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate]
"Start"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions]
"Start"=dword:00000004
　　7，从别的电脑或恢复光盘等拷贝同版本系统的正常%System32%\verclsid.exe系统文件