病毒名称： Trojan-PSW.Win32.OnLineGames.zc
病毒类型： 木马
文件 MD5： 439C9F0863824FD0A4B664F86E17FCDC
公开范围： 完全公开
危害等级： 4
文件长度： 27,648 字节
感染系统： windows98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： 无

　　该病毒属木马类，病毒运行后衍生病毒文件 winform.dll 到 %ssytem32% 文件夹下，备份自
身到 %WINDIR% 文件夹下，并删除自身，释放内存； winform.dll 插入到系统进程 explorer.exe
中；修改注册表，添加启动项，以达到随机启动的目的；关闭 瑞星、金山、诺顿、 Mcafee 等反
病毒软件进程；该病毒遍历进程列表，如有 my.exe （盗号类病毒）则结束其进程，并删除
my.exe 文件，监控 LaTaleClient.exe （网络游戏 彩虹岛的进程 ）、 mhmain.dll （网络游戏
梦幻西游的文件 ），如在运行状态则关闭其进程并开始记录键盘操作，从而盗取用户敏感信息。
如用户打开 www.sdo.com ( 盛大网站 ) ，该病毒则记录用户的登陆信息，盗取用户的盛大通告
证的账号与密码。

1 、病毒运行后衍生病毒文件、删除自身、释放内存：

　　　　%WINDIR%\winform.exe
　　　　%system32%\winform.dll
　　　　
2 、将衍生文件 winform.dll 插入到系统进程 explorer.exe 中。

3 、修改注册表，添加启动项，以达到随机启动的目的：

　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　　　键值 : 字串 :"WinForm"="C:\WINDOWS\WinForm.exe"

4 、关闭瑞星、金山、诺顿、 Mcafee 等反病毒软件进程：

　　　　RavMon.exe
　　　　DefWatch
　　　　KWatchSvc
　　　　KPfwSvcKWatchSvc
　　　　KVSrvXPKPfwSvcKWatchSvc
　　　　McAfeeFrameworkKVSrvXPKPfwSvcKWatchSvc
　　　　McShield
　　　　McTaskManager

5 、使用 SeDebugPrivilege 获取进程句柄的应用程序名，监控 LaTaleClient.exe 、
mhmain.dll ，如在运行状态则关闭其进程并开始记录键盘操作，从而盗取用户敏感信息。

6 、 如用户打开 www.sdo.com( 盛大网站 ) ，该病毒则记录用户的登陆信息，盗取用户的
盛大
通告证的账号与密码。

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 ， windows95/98/me 中默认的安装
路径是 C:\Windows\System ， windowsXP 中默认的安装路径是 C:\Windows\System32 。

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 　 (1)使用 安天木马防线 “进程管理”关闭病毒进程。
　　　　　　　结束系统进程 explorer.exe 　　　　　
　 　 (2)删除病毒文件：
　　　　　　　%WINDIR%\winform.exe
　　　　　　　%system32%\winform.dll
　 　 (3)恢复病毒修改的注册表项目，删除病毒添加的注册表项：
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
　　　　　　　Windows\CurrentVersion\Run
　　　　　　　键值 : 字串 :"WinForm"="C:\WINDOWS\WinForm.exe"

点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net