病毒名称：Trojan-PSW.Win32.OnLineGames.aqr [exe]（Kaspersky）
病毒别名：Trojan.PSW.Win32.Wowar.tr [exe]（瑞星）, Trojan.PSW.Win32.OnlineGames.xuf [dll]（瑞星）
　　　　　 Win32.PSWTroj.Wowar.tr.86016 [exe]（毒霸）, Win32.PSWTroj.OnlineGames.27136 [dll]（毒霸）
病毒大小：12,044 字节
加壳方式：PE_Patch UPack
样本MD5：07e6077efe9f3584c5fbb2bd7a6b6e8d
样本SHA1：a492066f0ba522ee011bf716c56e469a7259faa9
传播方式：恶意网页、其它木马下载

技术分析
==========

魔兽木马，运行后释放dll到系统目录并注入进程：
%System%\msavpw0.dll

创建ShellExecuteHooks启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{86AAC8D7-BA19-48AC-9269-3C76A52642EC}"="Extr rising hook MS"

[HKEY_CLASSES_ROOT\CLSID\{86AAC8D7-BA19-48AC-9269-3C76A52642EC}\InprocServer32]
@="%System%\msavpw0.dll"

木马不断重写释放出的dll文件和启动项。

设置注册表信息：

[HKEY_CLASSES_ROOT\CLSID\{86AAC8D7-48AC-9269-BA19-3C76A52642EC}]
"ExeModuleName"="{原文件}"
"DllModuleName"="%System%\msavpw0.dll"
"SobjEventName"="CZXSDERDAKSIIMS_0"

清除步骤
==========

1. 退出已打开的应用程序，关闭打开的窗口，结束Explorer.exe进程(ctrl+alt+del组合键调用任务管理器,结束进程)

2. 删除（或重命名/移动）木马文件(如遇提示无法删除文件，到down.45it.com下载费尔木马强制删除器工具进行强制删除)：
%System%\msavpw0.dll

3. 运行Explorer.exe进程

4. 删除木马创建的ShellExecuteHooks启动项和相关信息(开始菜单－运行－输入“regedit”进入注册表依次找到说明选项并按提示操作)：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{86AAC8D7-BA19-48AC-9269-3C76A52642EC}"="Extr rising hook MS"

[HKEY_CLASSES_ROOT\CLSID\{86AAC8D7-BA19-48AC-9269-3C76A52642EC}]

[HKEY_CLASSES_ROOT\CLSID\{86AAC8D7-48AC-9269-BA19-3C76A52642EC}]

5. 如果第2步中没有删除木马文件，重启计算机后再删除重命名或移动过的木马文件：
%System%\msavpw0.dll