Win32.Troj.OnlineGameT.zp.57344是一个针对《魔域》的网游盗号木马。它自带得有一个驱动文件，用于解除一些具有所谓主动防御功能的杀毒软件的主防。当破坏了杀毒软件的正常运行后，病毒就会盗取游戏的帐号和密码。

释放以下病毒文件:
%systemroot%system32ttMYSMYS1053.exe
%systemroot%system32ttMYSMYS1053.dll
%systemroot%system32driversXNGAnti.sys
%systemroot%system32driversReloadAnti.sys

注: XNGAnti.sys 和 ReloadAnti.sys 两个驱动文件相同

枚举系统进程,结束 360TraY.exe 和 soul.exe 进程. (soul.exe 为网络游戏《魔域》的游戏进程)
创建系统服务加载驱动文件 XNGAnti.sys,通过发送控制码(22E14Bh)请求驱动执行指定操作.创建批处理文件删除自身.

驱动文件的作用是根据程序传入的数据替换SSDT表的系统服务函数地址.(恢复被hook掉的函数)
盗取系统上的网络游戏《魔域》的帐号信息并发送至指定的接收网址.

病毒创建以下注册表项:
HKEY_CLASSES_ROOTCLSID{9947e423-193f-4fc4-b38d-e76fdd799150}
HKEY_CLASSES_ROOTCLSID{9947e423-193f-4fc4-b38d-e76fdd799150}InprocServer32
HKEY_CLASSES_ROOTCLSID{9947e423-193f-4fc4-b38d-e76fdd799150}InprocServer32 @ "%systemroot%system32ttMYSMYS1053.dll"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks {9947e423-193f-4fc4-b38d-e76fdd799150} "ttMYSMYS1053.dll"

推荐安装金山毒霸正版的杀毒软件进行全面监控，防范日益增多的病毒。

怀疑中毒的用户可使用线查毒进行病毒查证。免费在线查毒地址：
http://www.antidu.cn/board/online/

已经中毒的用户，可以去论坛提问求助
http://bbs.antidu.cn