病毒名称：Trojan-PSW.Win32.OnLineGames.sc（Kaspersky）
病毒别名：Trojan.PSW.Win32.OnlineGames.cpc（瑞星）
病毒大小：8,644 字节
加壳方式：PE_Patch UPack
样本MD5：bf42b907a78d180e2ce2deeb7c71c526
样本SHA1：693a2609601353f26b6f7c721a1367cc22924252
发现时间：2007.6
更新时间：2007.6.25
关联病毒：
传播方式：恶意网页，其它病毒或木马下载

技术分析

木马运行后复制自身到系统目录：
%System%\ztinetzt.exe
释放dll注入进程：
%System%\ztinetzt.dll

使用cmd /c del命令删除自身原文件。

创建启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Autorun14"="%System%\ztinetzt.exe"

如果存在以下安全软件进程，则调用ntsd -c q -p PID命令结束它们：
KVXP.kxp
KRegEx.exe
RUNIEP.EXE
avp.exe

尝试向Kaspersky、瑞星等监控对话框发送确认命令，如“跳过”、“允许”、“确定”、“同意修改”等。

清除步骤

1. 删除木马的启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Autorun14"="%System%\ztinetzt.exe"

2. 重新启动计算机

3. 删除木马文件：
%System%\ztinetzt.exe
%System%\ztinetzt.dll