Win32.Troj.QQPass.dg

病毒行為:

同時該病毒還會嘗試盜取傳奇，魔獸，征途等網遊賬號木馬。該病毒會將盜取的賬號密碼傳送到指定的信箱和提交給指定的處理網址。建議電腦用戶升級病毒庫查殺給病毒，以免中毒受害。

1、生成的檔案

%Program Files%\Internet Explorer\Connection Wizard\isignup.dll

%Program Files%\Internet Explorer\Connection Wizard\isignup.sys

2、註冊CLSID組件

HKCR\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}\InProcServer32

(Default)

"%Program Files%\Internet Explorer\Connection Wizard\isignup.sys"

3、添加啟動項，隨系統進程啟動

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}

4、安裝WH_GETMESSAGE，WH_CALLWNDPROC訊息鉤子，監視滑鼠和鍵盤輸入以盜取密碼，

其申請進程為：%SystemRoot\explorer.exe

5、添加註冊表標記

HKCU\Software\microsoft\qqjdd

"DL" = "2"

6、生成並執行_xiaran.bat批處理檔案實現自刪除。