病毒名称：Trojan-PSW.Win32.OnLineGames.aci [exe]（Kaspersky）
病毒别名：Trojan.PSW.Win32.WsGame.y [exe]（瑞星）, Trojan.PSW.Win32.WSgame.x [dll]（瑞星）
病毒大小：8,456 字节
加壳方式：UPack
样本MD5：88d5464cfbbedb469b4ede457c9eae78
样本SHA1：8704d8dbf05aba9fdbb4de73a3bc157368b6616c
发现时间：2007.8
更新时间：2007.8.10
关联病毒：
传播方式：恶意网页、其它木马下载

技术分析
==========

网游木马，运行后释放dll到系统目录：
%System%\mhdoor0.dll

创建ShellExecuteHooks启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{3422FB0F-95EB-458A-8B56-39552017A4EF}"="hook mh"

[HKEY_CLASSES_ROOT\CLSID\{3422FB0F-95EB-458A-8B56-39552017A4EF}\InprocServer32]
@="%System%\mhdoor0.dll"
约每半秒重写以上启动信息。

设置注册表信息：

[HKEY_CLASSES_ROOT\CLSID\{3422FB0F-458A-8B56-95EB-39552017A4EF}]
"daExeModuleName"="{原文件}"
"daDllModuleName"="%System%\mhdoor0.dll"
"daSobjEventName"="YUTDFGHKHCOOLMH_0"
清除步骤
==========

到down.45it.com下载sreng2.zip（作为备用）和IceSword120_cn.zip(以下简称冰刃)

1. 重命名木马文件（自定义文件名即可）：
%System%\mhdoor0.dll

2. 重新启动计算机

3. 删除重命名过的木马文件（打开冰刃－文件－依次找到病毒文件删除即可）：
%System%\mhdoor0.dll

4. 删除木马创建的ShellExecuteHooks启动项和相关信息（打开冰刃－注册表－依次找到病毒注册表选项删除即可）：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{3422FB0F-95EB-458A-8B56-39552017A4EF}"

[HKEY_CLASSES_ROOT\CLSID\{3422FB0F-95EB-458A-8B56-39552017A4EF}]

[HKEY_CLASSES_ROOT\CLSID\{3422FB0F-458A-8B56-95EB-39552017A4EF}]