Win32.Troj.PswQQ.p

病毒行為:

這是一個能把自己注入Explorer.exe進程的病毒,它能盜取用戶的QQ密碼

1:拷貝與釋放檔案

病毒運行後,會把自己拷貝到下面的資料夾中:

C:\Program Files\Outlook Express

並命名為xyqq(沒有擴展名),並在同一目錄下釋放

一個名為newqq.dll的檔案,此檔案也是個病毒,病毒名為Win32.Troj.PswQQ.p.46725

2:修改註冊表

病毒會修改以下兩處註冊表鍵值

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

{25E1EECB-E580-4032-97A2-A456D33820D1}

HKEY_CLASSES_ROOT\CLSID\{25E1EECB-E580-4032-97A2-A456D33820D1}\InProcServer32

默認 -> C:\Program Files\Outlook Express\newqq.dll

ThreadingModel -> Apartment

使自己能隨Windows啟動,並插入到Explorer.exe進程空間中運行

3:盜取QQ密碼

病毒會刪除QQ密碼保護檔案npkcrypt.sys,使QQ密碼保護失效,

並讀取用戶輸入的QQ登錄號碼與密碼,並把它們經過簡單的加密後

記錄在C:\myok.exe檔案中,之後再把該檔案通過郵件的方式傳送到

黑客事前指定的信箱中,使用戶的QQ號碼丟失.