Win32.PSWTroj.QQPass.fj.223232

这是一个键盘记录器。它能记录用户输入的数据，并发送到病毒作者指定的邮箱。该毒主要用于盗取帐号和密码，也可能被用于盗窃商业数据。

1.生成文件:
%sys32dir%\zoekk.dll

2.生成CLSID组件
HKEY_CLASSES_ROOT\CLSID\{5EED7086-B89D-4DE8-A860-D248EA782788}
HKEY_CLASSES_ROOT\CLSID\{5EED7086-B89D-4DE8-A860-D248EA782788} @ "MM write by xh"
HKEY_CLASSES_ROOT\CLSID\{5EED7086-B89D-4DE8-A860-D248EA782788}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{5EED7086-B89D-4DE8-A860-D248EA782788}\InProcServer32 @ "C:\WINDOWS\system32\zoekk.dll"
HKEY_CLASSES_ROOT\CLSID\{5EED7086-B89D-4DE8-A860-D248EA782788}\InProcServer32 ThreadingModel "Apartment"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {5EED7086-B89D-4DE8-A860-D248EA782788} ""

3.还会生成其他的注册表项
HKEY_CURRENT_USER\Software\Microsoft\Installer
HKEY_CURRENT_USER\Software\Microsoft\Installer SMTP "29372E2A746B6C6974393537"
HKEY_CURRENT_USER\Software\Microsoft\Installer USER "02020202020202"
HKEY_CURRENT_USER\Software\Microsoft\Installer PASS "02020202020202"
HKEY_CURRENT_USER\Software\Microsoft\Installer FMAIL "02020202021A6B6C6974393537"
HKEY_CURRENT_USER\Software\Microsoft\Installer TMAIL "22053205293F343E1A6B6C6974393537"
HKEY_CURRENT_USER\Software\Microsoft\Installer SUBJECT "0202020202020202"

4.病毒运行后会删除病毒源文件自身.

5.病毒运行后会把dll文件注入到进程当中.

6.病毒运行后会通过记录键盘按键的方式截获客户的账号,密码等相关资料.然后把获得的的相关资料发送木马种植者的邮箱.