病毒名称：Trojan-Downloader.Win32.Agent.bek [exe]（Kaspersky）
病毒别名：Trojan.PSW.Win32.WsGame.y [exe]（瑞星）, Trojan.PSW.Win32.Wowar.tp [dll]（瑞星）
病毒大小：12,164 字节
加壳方式：PE_Patch UPack
样本MD5：840aea6c0202252bfa2e97840ac8c934
样本SHA1：5c6c6a32f7d39a49cf3494daf595ea247200a898
发现时间：2007.8
更新时间：2007.8.10
关联病毒：
传播方式：恶意网页、其它木马下载

技术分析
==========

网游木马，运行后释放dll到系统目录：
%System%\wodoor0.dll

创建ShellExecuteHooks启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}"="hook wo"

[HKEY_CLASSES_ROOT\CLSID\{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}\InprocServer32]
@="%System%\wodoor0.dll"
木马会不断重写释放出的dll文件和启动项。

设置注册表信息：

[HKEY_CLASSES_ROOT\CLSID\{5731EA1D-4DE9-BDDA-6AAF-7B390A75B286}]
"daExeModuleName"="{原文件}"
"daDllModuleName"="%System%\wodoor0.dll"
"daSobjEventName"="YUTDFGHKHCOOLWO_0"
清除步骤

==========

到down.45its.com下载IceSword120_cn.zip(冰刃)

1. 结束Explorer.exe进程(使用冰刃结束即可)

2. 删除（或重命名/移动）木马文件（down.45its.com下载IceSword120_cn.zip(冰刃)删除）：
%System%\wodoor0.dll

3. 运行Explorer.exe进程

4. 删除木马创建的ShellExecuteHooks启动项和相关信息（down.45its.com下载IceSword120_cn.zip(冰刃)依次删除）：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{3422FB0F-95EB-458A-8B56-39552017A4EF}"

[HKEY_CLASSES_ROOT\CLSID\{3422FB0F-95EB-458A-8B56-39552017A4EF}]

[HKEY_CLASSES_ROOT\CLSID\{3422FB0F-458A-8B56-95EB-39552017A4EF}]

5. 如果第2步中没有删除木马文件，重启计算机后再删除重命名或移动过的木马文件：
%System%\wodoor0.dll