Win32.Troj.QQPass.er

影響系統：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行為:

這是一個盜取QQ密碼的木馬病毒。

1. 該木馬運行後，首先檢查%WindDir%\help\目錄下是否存在QQZLT.CHI檔案，如果存在，

則說明木馬已被種植，否則，病毒會將自身複製為這個檔案。

2. 木馬會再複製一份到%Windir%\help\目錄下，命名為QQPass.exe。同時從資源中釋放

動態連結檔案QQhook.dll和執行檔kill.exe。然後病毒會運行kill.exe，這個文

件每隔一個小時尋找QQ進程，並將其關閉。病毒通過這種方式，可以在用戶再次登

錄時，獲取用戶密碼。接著，木馬將QQPass.exe建立為名為"QQmasscre"的服務，並

將其開啟。

3. 被啟動的"QQmasscre"服務通過載入QQhook.dll中的件鍵盤和滑鼠鉤子函式，對QQ

及TM用戶進行監控。

4. 木馬將盜取的密碼信息利用自帶的SMTP引擎傳送到指定的信箱。

基本介紹