Win32.Troj.QQHook.dh

威脅級別：★

病毒類型：木馬

影響系統：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行為:

這是一個盜取QQ賬號以及中國遊戲中心賬號相關信息的木馬。病毒運行後會安裝全局鉤子，監視系統，尋找遊戲和QQ視窗，當找到時便獲得相關信息，提交到指定網址。

1、病毒運行後會複製自身到C:\Program Files\Internet Explorer\PLUGINS\system.jmp，並釋放一個dll檔案到

C:\Program Files\Internet Explorer\PLUGINS\system18.sys。

2、修改註冊表實現開機自動啟動：

添加如下鍵值：

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

{6E44887F-5214-41F2-AB46-4728735C4CC6}=""

[HKCR\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}]

(Default)=""

[HKCR\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcServer32]

(Default)="C:\Program Files\Internet Explorer\PLUGINS\system18.sys"

[HKCR\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcServer32]

"ThreadingModel"="Apartment"

3、安裝全局鉤子，載入病毒檔案system18.sys。

4、枚舉系統中的視窗，查找QQ登入視窗以及中國遊戲中心的登入視窗，若找到則向視窗傳送訊息獲得賬號相關信息。

5、將取得的信息提交到指定的網址。