Win32.Troj.QQPswT.bs.116858分析

　　威胁级别: ★☆☆☆☆ 病毒类型: 偷密码的木马 病毒长度: 116858

　　影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003

　　病毒行为:

　　这是一个盗取QQ帐号信息的木马程序

　　1.病毒运行后会产生以下文件

　　%ProgramFiles%\Internet Explorer\PLUGINS\SysWin7k.Jmp

　　%ProgramFiles%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys

　　%ProgramFiles%\Internet Explorer\PLUGINS\Wn_Sys8x.Tao

　　以及各分区下的Autorun.inf,Autorun.exe

　　2.修改如下注册表项

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

　　指向Wn_Sys8x.Sys

　　3.病毒运行时会判断是否自身在e盘,如果在e盘会打开e盘,以使autorun.inf自动执行autorun.exe,否则如果e盘存在会将自身自制到e:\AutoRun.exe,并生成e:\autorun.inf,inf要运行文件的指向AutoRun.exe

　　4.病毒还会从自身释放出dll文件,命名为Wn_Sys8x.Sys,并试图将它注入到explorer.exe中.

　　5.注入后的dll文件负责查找QQ登陆窗口，监视用户输入盗取的帐号和密码发送到指定的网址http://zh**un.154.5**ns.com/QQ/Qq9.asp