Trojan.PSW.WoWar.pu的详细情况

Trojan.PSW.WoWar.pu 俗名叫特洛伊木马，特洛伊木马的查杀是很烦人的，不过我是用卡巴斯基来杀的，你先记下它的文件路径，再关闭特洛伊木马的进程，进程名一般是WoWar.exe（也可能被改名，细心留意一下），再到它的路径里边去直接删除它，删了以后，还要用搜索功能搜索一下看电脑里边还有没有备份（这个情况90％），一并删除，再重启后，用瑞星（升级到最新）再杀一次，就可以了，此方法对付应该是可以的，但是对那些关联到DLL（动态链接库）的木马无能为力了，只能重装系统了.

加壳方式：NSPack
样本MD5：53eaaadaadd93e58c234b5577a9109b0
样本SHA1：1bb8141a4117fa22122a5617b90ed4ecabcd460a
发现时间：2006.10
更新时间：2006.10
关联病毒：
传播方式：通过恶意网页传播、其它木马下载

技术分析
==========

这是一个WOW木马，文件名和启动项看上去会让人以为它是WOW的游戏程序，运行后复制自身到系统目录%System%\Launcher.exe，释放%System%\mywow.dll注入进程，创建启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"wow"="%System%\Launcher.exe"

清除步骤
==========

1. 删除木马的启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"wow"="%System%\Launcher.exe&qu