病毒名称：Trojan-Downloader.Win32.Agent.bek [exe]（Kaspersky）
病毒别名：Trojan.PSW.Win32.WsGame.y [exe]（瑞星）, Trojan.PSW.Win32.CabalOnline.q [dll]（瑞星）
　　　　　 Win32.Troj.Hooker.c.11776 [dll]（毒霸）
病毒大小：7,068 字节
加壳方式：PE_Patch UPack
样本MD5：54293c4332be882b336dbada19a9511f
样本SHA1：87c691131fe9aef0621bece64a9672b77833cada
发现时间：2007.8
更新时间：2007.8.10
关联病毒：
传播方式：恶意网页、其它木马下载

技术分析
==========

网游木马，运行后释放dll到系统目录：
%System%\jtdoor0.dll

创建ShellExecuteHooks启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{71046DD5-E136-4C4B-A6B5-91C30CB15291}"="hook jt"

[HKEY_CLASSES_ROOT\CLSID\{71046DD5-E136-4C4B-A6B5-91C30CB15291}\InprocServer32]
@="%System%\jtdoor0.dll"
木马会不断重写释放出的dll文件和启动项。

设置注册表信息：

[HKEY_CLASSES_ROOT\CLSID\{71046DD5-4C4B-A6B5-E136-91C30CB15291}]
"daExeModuleName"="{原文件}"
"daDllModuleName"="%System%\jtdoor0.dll"
"daSobjEventName"="YUTDFGHKHCOOLJT_0"
清除步骤
==========

1. 结束Explorer.exe进程

2. 删除（或重命名/移动）木马文件：
%System%\jtdoor0.dll

3. 运行Explorer.exe进程

4. 删除木马创建的ShellExecuteHooks启动项和相关信息：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{71046DD5-E136-4C4B-A6B5-91C30CB15291}"

[HKEY_CLASSES_ROOT\CLSID\{71046DD5-E136-4C4B-A6B5-91C30CB15291}]

[HKEY_CLASSES_ROOT\CLSID\{71046DD5-4C4B-A6B5-E136-91C30CB15291}]
5. 如果第2步中没有删除木马文件，重启计算机后再删除重命名或移动过的木马文件：
%System%\jtdoor0.dll