恶意程序Trojan-GameThief.Win32.OnLineGames.tags会修改系统文件debug.exet和taskmgr.exe；通过直接读写磁盘来穿透还原软件；还会下载其他大量恶意程序，盗取用户敏感信息。


一、病毒相关分析：
      病毒标签：
         　病毒名称：Trojan-GameThief.Win32.OnLineGames.tags
       　  病毒类型：木马
  　       危害级别：3
  　       感染平台：Windows
     　    病毒大小：15,956(字节)
  　       S H A 1  ：b7628789c87f07c1574cc9c0828edb87e5dceeac
      　   加壳类型：UPack
     　    开发工具：Microsoft Visual C++

     病毒行为：
           1、释放文件：
　　　　　%Windir%*.exe        //*为四位随机字母   
　　　　　%System%driversntkapi.sys
　　　　　修改文件：
　　　　　%System%dllcachetaskmgr.exe　　
          2、加载驱动文件ntkapi.sys,直接读写磁盘；
　　　　　用恶意代码直接写入文件%System%debug.exe。
          2、程序*.exe执行后，会停止服务：ekrn、NOD32krn；
　　　　　调用taskkill.exe终止以下进程：
　　　　　ekrn.exe、egui.exe、nod32krn.exe、nod32kui.exe。
          3、通过连接www.google.cn和www.baidu.com来测试是否处于联网状态；
　　　　
         如果可以访问网络，则下载并执行以下文件：
        http://111.*****.net/cao/aa1.exe
        http://111.*****.net/cao/aa2.exe
        http://111.*****.net/cao/aa3.exe
        http://111.*****.net/cao/aa4.exe
        http://111.*****.net/cao/aa5.exe
        http://111.*****.net/cao/aa6.exe
        http://111.*****.net/cao/aa7.exe
        http://111.*****.net/cao/aa8.exe
        http://222.*****.net/cao/aa9.exe
        http://222.*****.net/cao/aa10.exe
        http://222.*****.net/cao/aa11.exe
        http://222.*****.net/cao/aa12.exe
        http://222.*****.net/cao/aa13.exe
        http://222.*****.net/cao/aa14.exe
        http://222.*****.net/cao/aa15.exe
        http://222.*****.net/cao/aa16.exe
        http://333.*****.net/cao/aa17.exe
        http://333.*****.net/cao/aa18.exe
        http://333.*****.net/cao/aa19.exe
        http://333.*****.net/cao/aa20.exe
        http://333.*****.net/cao/aa21.exe
        http://333.*****.net/cao/aa22.exe
        http://333.*****.net/cao/aa23.exe
        http://333.*****.net/cao/aa24.exe
        http://444.*****.net/cao/aa25.exe
        http://444.*****.net/cao/aa26.exe
        http://444.*****.net/cao/aa27.exe
        http://444.*****.net/cao/aa28.exe
        http://444.*****.net/cao/aa29.exe
        http://444.*****.net/cao/aa30.exe
        http://444.*****.net/cao/aa31.exe
        http://444.*****.net/cao/aa32.exe
        http://444.*****.net/cao/aa33.exe
        http://444.*****.net/cao/aa34.exe

  
二、解决方案
       推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。
　    超级巡警下载地址：http://www.sucop.com/download/16.html

       手工清除方法：
   　       1、结束病毒进程。打开超级巡警，选择进程管理功能，终止*.exe进程。   　     
   　       2、删除病毒生成的文件。
   　       3、删除病毒的启动项。打开超级巡警，选择启动管理，删除可疑的启动项。
   　       4、替换回正常的系统文件taskmgr.exe和debug.exe。

三、安全建议
　　      1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
　　      2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。
　　      3、使用超级巡警的补丁检查功能，及时安装系统补丁。
　　      4、不要随意共享文件或文件夹，共享前应先设置好权限，另外建议共享文件不要设  置为可写或可控制。 　　            5、禁用或删除不必要的的帐号，对管理员帐号设置一个强壮的密码。
　　      6、禁用不必要的服务。
　　      7、及时更新常用软件，尤其是聊天工具。

  注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%System，在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它：

　　     %SystemDrive% 　　     　　          系统安装的磁盘分区
　　     %SystemRoot% = %Windir% 　　  WINDODWS系统目录
　　     %ProgramFiles%　 　 　　　　      应用程序默认安装目录
　　     %AppData% 　　     　　                应用程序数据目录
　　     %CommonProgramFiles%　　       公用文件目录
　　     %HomePath% 　　     　　             当前活动用户目录
　　     %Temp% =%Tmp% 　　     　　    当前活动用户临时目录
　　     %DriveLetter% 　　     　　            逻辑驱动器分区
　　     %HomeDrive% 　　　     　　         当前用户系统所在分区