Win32.Troj.QQPass.df.45260分析

　这是一个用vc编写的木马程序。病毒运行后会查找并破坏系统中金山毒霸、江民、瑞星等杀毒软件的正常运行。然后通过监视窗口字符串的方式盗窃“网易通行证”和《大话西游 II》的密码，并使用SMTP协议发送至木马种植者安排好的邮箱。

　　(1)生成文件

　　%temp%\temp~3

　　%sys32dir%\rasatkyeyt.dll

　　%sys32dir%\rasatkyeyt.exe

　　(2)生成注册表项

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Ravdpniln "%sys32dir%\ravysigilyn.exe"

　　(3)查找系统进程列表中以下杀毒程序进程，使用TerminateProcess强制关闭进程，以避免查杀

　　kav32.exe (金山毒霸)

　　kvsrvui.exe

　　symantec.exe

　　kvxp.kxp

　　pwf.exe

　　system.exe

　　iparmor.exe

　　kvmonxp.kxp

　　kavsvc.exe

　　kav.exe

　　rfwsrv.exe

　　rfwmain.exe

　　ravtimer.exe

　　ravstub.exe

　　ravmond.exe

　　ravmon.exe

　　瑞星杀毒软件

　　(4)获取位于注册表''''Software\Microsoft\Windows\CurrentVersion\Run\rfwmain''''字符串值指向的文件路径，并使用DeleteFileA删除该路径的文件

    (5)使用GetForegroundWindow获取当前工作窗口，查找窗口字符串是否包含"大话西游 II"或"WSWINDOW"或"网易通行证"等，如果存在则开始盗号操作，包括记录用户
键盘击键信息，盗取用户网易通行证，盗取"大话西游 II"仓库密码等。盗取成功后使用SMTP协议发送至chuanhuasq@163.com

    (6)病毒广告信息
Smi**ng-*UC QQ:58**81