Win32.Troj.QQPass.bd

病毒別名： 09-06 威脅級別：★

病毒行為:

這是個QQ木馬生成器！

1、這個木馬生成器可以根據用戶的選擇生成一個QQ盜號木馬。

2、生成的木馬行為如下：

3、在 %Program Files%\Outlook Express\ 下生成 myqqbi 和 myqq.dll 這兩個檔案，其中 myqqbi 是木馬的一個複製體。

4、自刪除。

5、建立如下註冊表項，使 myqq.dll 自啟動：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{25E1EECB-E580-4032-97A2-A456D33820D1} ""

HKCR\CLSID\{25E1EECB-E580-4032-97A2-A456D33820D1}\(Default) ""

HKCR\CLSID\{25E1EECB-E580-4032-97A2-A456D33820D1}\InProcServer32\(Default) "%Program Files%\Outlook Express\mqq.dll"

HKCR\CLSID\{25E1EECB-E580-4032-97A2-A456D33820D1}\InProcServer32\ThreadingModel "Apartment"

6、創建訊息鉤子，使myqq.dll載入到其它進程中。

7、如果myqq.dll檢測到載入程式為QQ.exe,即用戶啟動QQ程式時，刪除QQ的密碼保護檔案npkcrypt.sys。

8、獲取用戶QQ賬號信息，並按照木馬生成者的配置,將獲得的賬號信息傳送到指定的網頁或信箱。