蚊香小栈

来源：超级巡警

      超级巡警团队监测到恶意程序Trojan-GameThief.Win32.OnLineGames.tags会修改系统文件debug.exet和taskmgr.exe；通过直接读写磁盘来穿透还原软件；还会下载其他大量恶意程序，盗取用户敏感信息。超级巡警团队提醒广大用户及时更新病毒库，对该程序进行有效查杀。

一、病毒相关分析：
      病毒标签：
         　病毒名称：Trojan-GameThief.Win32.OnLineGames.tags
       　  病毒类型：木马
  　       危害级别：3
  　       感染平台：Windows
     　    病毒大小：15,956(字节)
  　       S H A 1  ：b7628789c87f07c1574cc9c0828edb87e5dceeac
      　   加壳类型：UPack
     　    开发工具：Microsoft Visual C++

     病毒行为：
           1、释放文件：
　　　　　%Windir%*.exe        //*为四位随机字母    
　　　　　%System%driver\sntkapi.sys
　　　　　修改文件：
　　　　　%System%dllcache\taskmgr.exe　　
          2、加载驱动文件ntkapi.sys,直接读写磁盘；用恶意代码直接写入文件%System%\debug.exe。
          3、程序*.exe执行后，会停止服务：ekrn、NOD32krn；调用taskkill.exe终止以下进程：ekrn.exe、egui.exe、nod32krn.exe、nod32kui.exe。
          4、通过连接www.google.cn和www.baidu.com来测试是否处于联网状态。如果可以访问网络，则下载并执行一系列病毒木马。

二、解决方案
       推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。
　    超级巡警下载地址：http://www.sucop.com/download/16.html

       手工清除方法：
   　       1、结束病毒进程。打开超级巡警，选择进程管理功能，终止*.exe进程。   　    
   　       2、删除病毒生成的文件。
   　       3、删除病毒的启动项。打开超级巡警，选择启动管理，删除可疑的启动项。
   　       4、替换回正常的系统文件taskmgr.exe和debug.exe。