Trojan-GameThief.Win32.OnLineGames.tudf(BA7EDF54.dll、d812a079.sys)分析与解决方案

      超级巡警团队监测到恶意程序Trojan-GameThief.Win32.OnLineGames.tudf该病毒为木马程序，主要盗取用户预言online游戏的信息，使用户的财产遭受损失，超级巡警建议用户使用超级巡警保险箱来保证游戏账号的安全。同时提醒广大用户及时更新病毒库，对该程序进行有效查杀。

一、病毒相关分析：
       病毒标签：
         病毒名称：Trojan-GameThief.Win32.OnLineGames.tudf
         病毒类型：木马
         危害级别：3
         感染平台：Windows
         病毒大小：22,374 字节
         SHA1　： B221715285C7EC7D830F708CBE77567C80BEF99D
         加壳类型：Upack
         开发工具：Microsoft Visual C++

       病毒行为：
          1、病毒运行以后释放病毒文件，释放文件之后将自身删除，遍历%system%文件夹删除verclsid.exe文件。
              %system%BA7EDF54.cfg
              %system%BA7EDF54.dll
              %system%d812a079.sys 

          2、调用命令注册释放的病毒文件。添加注册表相关键值，使每次系统启动时加载生成的DLL文件。
                  HKEY_CLASSES_ROOTCLSID{BA7EDF54-8408-4B21-B351-7B447B344BA4}InprocServer32
                  注册表值：(Default)
                  类型：REG_SZ
                  值：%system%BA7EDF54.dll

          3、添加注册表相关键值项，执行挂钩操作。
                  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

          4、添加注册表服务相关键值，创建服务加载驱动，该驱动的功能是恢复安全软件主动防御的内核钩子，使安全软件的主动防御功能失效。
                  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesd812a079

          5、病毒会根据游戏窗口信息和窗口类来判断当前是否有预言online游戏在运行中。

          6、将释放的随机名dll注入到自身进程中，安装钩子监控发送到消息队列的消息，盗取用户预言online游戏信息。

二、解决方案
       推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。
                      超级巡警下载地址：http://www.sucop.com/download/16.html

       手工清除方法：
          1、结束病毒进程。打开超级巡警ToolsLoader.exe工具（此工具在超级巡警安装目录下），选择进程管理功能，终止病毒进程。

          2、删除病毒生成的文件。
            &