Win32.Troj.PSWQQ.gb

類別：木馬病毒

病毒資料：該病毒為Windows平台下針對於QQ網路即時聊天軟體的盜號木馬，病毒運行後將自身複製至特殊資料夾以偽裝成系統正常程式，然後病毒在後台監視用戶使用QQ的相關信息，收集後傳送給病毒作者。 病毒主要通過網路欺騙、捆綁軟體方式進行傳播。 1、病毒運行後將自身複製至以下路徑: %SysRoot%:\Program Files\Internet Explorer\PLUGINS\system.jmp 2、病毒釋放出以下主盜號模組: %SysRoot%:\Program Files\Internet Explorer\PLUGINS\system.sys 3、病毒添加以下幾個註冊表項，使病毒開機後能夠自動運行: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6E44887F-5214-41F2-AB46-4728735C4CC6} HKEY_LOCAL_MACHINE\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6} HKEY_LOCAL_MACHINE\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcserver32 @@ = "%SysRoot%:\Program Files\Internet Explorer\PLUGINS\system.sys" ThreadingModel = "apartment" 4、病毒利用鉤子技術將"system.sys"注入每個進程中，然後進行定位QQ主程式。 5、成功定位後，病毒在後台記錄用戶QQ的以下相關信息: 登錄號碼 密碼 Q幣 遊戲幣 積分 密保 是否會員 等級信息 帳戶餘額 6、成功獲取後病毒將信息傳送至地址。