病毒名称：Trojan-PSW.Win32.OnLineGames.qw[dll]（Kaspersky）,Rootkit.Win32.Agent.fy[sys]（Kaspersky）

病毒别名：Trojan.PSW.Win32.JHOnline.a[exe]（瑞星）,Trojan.PSW.Win32.OnlineGames.dba[dll]（瑞星）

Trojan.PSW.Win32.JHOnline.a[sys]（瑞星）

病毒大小：49,664字节

加壳方式：

样本MD5：335838f3badbc6532211e19988f008a9

样本SHA1：1c13b0d60b8838dcb5581e21f0526b1d6412a5d8

发现时间：2007.7

更新时间：2007.7

关联病毒：

传播方式：通过恶意网站传播，其它木马下载

技术分析

==========

木马运行后复制自身到系统目录下：

%Windows%systemSMSS.exe

并释放dll：

%Windows%systemhook.dll

在当前位置释放驱动fOxkb.sys：

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesfOxkb]

木马隐藏自身进程，在任务管理器、ProceXP等进程管理程序中不可见。

创建启动项：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"QQREST"="%Windows%systemSMSS.exe"

约每5秒重写一次。

清除步骤

==========

1.使用IceSword结束木马进程：

%Windows%systemSMSS.exe

2.删除文件(如遇提示无法删除文件，到down.45it.com下载费尔木马强制删除器工具进行强制删除)：

%Windows%systemSMSS.exe

%Windows%systemhook.dll

3.删除木马启动项（详细步骤：打开SREng－启动项目－注册表）：SREng软件也可到down.45it.com下载

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"QQREST"="%Windows%systemSMSS.exe"

4.删除注册表中木马添加的驱动信息（详细步骤：打开SREng－启动项目－驱动程序）：

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesfOxkb]

5.删除木马释放的驱动文件(如遇提示无法删除文件，到down.45it.com下载费尔木马强制删除器工具进行强制删除)：

fOxkb.sys