病毒名称：Trojan-PSW.Win32.OnLineGames.aci [exe]（Kaspersky）
病毒别名：PWS-LegMir.dll [dll]（McAfee）
　　　　　 Trojan.PSW.Win32.WsGame.y [exe]（瑞星）, Trojan.PSW.Win32.OnlineGames.xny [dll]（瑞星）
　　　　　 Win32.Troj.OnlineGames.ac.69632 [exe]（毒霸）, Win32.Troj.OnlineGames.ac.57232 [dll]（毒霸）
病毒大小：8,476 字节
加壳方式：UPack
样本MD5：82671c6922bd5252c0c5c66de44299f5
样本SHA1：dd94740fdc09ee3cdc7846610cb4e6a29b2ef7b0
发现时间：2007.8
更新时间：2007.8.10
关联病毒：
传播方式：恶意网页、其它木马下载

技术分析
==========

网游木马，运行后释放dll到系统目录：
%System%\ztdoor0.dll

创建ShellExecuteHooks启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{E952B8F8-D91A-4EDD-851C-EE1A0F944469}"="hook zt"

[HKEY_CLASSES_ROOT\CLSID\{E952B8F8-D91A-4EDD-851C-EE1A0F944469}\InprocServer32]
@="%System%\ztdoor0.dll"
木马会不断重写释放出的dll文件和启动项。

设置注册表信息：

[HKEY_CLASSES_ROOT\CLSID\{E952B8F8-4EDD-851C-D91A-EE1A0F944469}]
"daExeModuleName"="{原文件}"
"daDllModuleName"="%System%\ztdoor0.dll"
"daSobjEventName"="YUTDFGHKHCOOLZT_0"
清除步骤
==========

1. 结束Explorer.exe进程

2. 删除（或重命名/移动）木马文件：
%System%\ztdoor0.dll

3. 运行Explorer.exe进程

4. 删除木马创建的ShellExecuteHooks启动项和相关信息：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{E952B8F8-D91A-4EDD-851C-EE1A0F944469}"

[HKEY_CLASSES_ROOT\CLSID\{E952B8F8-D91A-4EDD-851C-EE1A0F944469}]

[HKEY_CLASSES_ROOT\CLSID\{E952B8F8-4EDD-851C-D91A-EE1A0F944469}]
5. 如果第2步中没有删除木马文件，重启计算机后再删除重命名或移动过的木马文件：
%System%\ztdoor0.dll