病毒名称:Trojan-PSW.Win32.OnLineGames.qw [dll](Kaspersky), Rootkit.Win32.Agent.fy [sys](Kaspersky)
病毒别名:Trojan.PSW.Win32.JHOnline.a [exe](瑞星), Trojan.PSW.Win32.OnlineGames.dba [dll](瑞星)
Trojan.PSW.Win32.JHOnline.a [sys](瑞星)
病毒大小:49,664 字节
加壳方式:
样本MD5:335838f3badbc6532211e19988f008a9
样本SHA1:1c13b0d60b8838dcb5581e21f0526b1d6412a5d8
发现时间:2007.7
更新时间:2007.7
关联病毒:
传播方式:通过恶意网站传播,其它木马下载
技术分析
==========
木马运行后复制自身到系统目录下:
%Windows%\system\SMSS.exe
并释放dll:
%Windows%\system\hook.dll
在当前位置释放驱动fOxkb.sys:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fOxkb]
木马隐藏自身进程,在任务管理器、ProceXP等进程管理程序中不可见。
创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QQREST"="%Windows%\system\SMSS.exe"
约每5秒重写一次。
清除步骤
==========
1. 使用IceSword结束木马进程:
%Windows%\system\SMSS.exe
2. 删除文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):
%Windows%\system\SMSS.exe
%Windows%\system\hook.dll
3. 删除木马启动项(详细步骤:打开SREng-启动项目-注册表):SREng软件也可到down.45it.com下载
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QQREST"="%Windows%\system\SMSS.exe"
4. 删除注册表中木马添加的驱动信息(详细步骤:打开SREng-启动项目-驱动程序):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fOxkb]
5. 删除木马释放的驱动文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):
fOxkb.sys