病毒名称：Trojan-PSW.Win32.OnLineGames.qw [dll]（Kaspersky）, Rootkit.Win32.Agent.fy [sys]（Kaspersky） 　　病毒别名：Trojan.PSW.Win32.JHOnline.a [exe]（瑞星）, Trojan.PSW.Win32.OnlineGames.dba [dll]（瑞星） 　　　　　 Trojan.PSW.Win32.JHOnline.a [sys]（瑞星） 　　病毒大小：49,664 字节 　　加壳方式： 　　样本MD5：335838f3badbc6532211e19988f008a9 　　样本SHA1：1c13b0d60b8838dcb5581e21f0526b1d6412a5d8 　　发现时间：2007.7 　　更新时间：2007.7 　　关联病毒： 　　传播方式：通过恶意网站传播，其它木马下载 　　技术分析 　　========== 　　木马运行后复制自身到系统目录下： 　　%Windows%\system\SMSS.exe 　　并释放dll： 　　%Windows%\system\hook.dll 　　在当前位置释放驱动fOxkb.sys： 　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fOxkb] 　　木马隐藏自身进程，在任务管理器、ProceXP等进程管理程序中不可见。 　　创建启动项： 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QQREST"="%Windows%\system\SMSS.exe" 　　约每5秒重写一次。 　　清除步骤 　　========== 　　1. 使用IceSword结束木马进程： 　　%Windows%\system\SMSS.exe 　　2. 删除文件(如遇提示无法删除文件，到down.45it.com下载费尔木马强制删除器工具进行强制删除)： 　　%Windows%\system\SMSS.exe 　　%Windows%\system\hook.dll 　　3. 删除木马启动项（详细步骤：打开SREng－启动项目－注册表）：SREng软件也可到down.45it.com下载 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QQREST"="%Windows%\system\SMSS.exe" 　　4. 删除注册表中木马添加的驱动信息（详细步骤：打开SREng－启动项目－驱动程序）： 　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fOxkb] 　　5. 删除木马释放的驱动文件(如遇提示无法删除文件，到down.45it.com下载费尔木马强制删除器工具进行强制删除)： 　　fOxkb.sys