Win32.Troj.QQRobber.252037

影響系統：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行為:

生成的木馬主要行為如下:

1. 將自身複製到 %system% 下的 svohost.exe 中,並設定為隱藏屬性.

2. 創建鍵 HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SoundMam, 鍵值為 病毒複製體路徑,並不停的生成該鍵以防被修改.

3. 修改鍵 HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall\CheckedValue ,改後鍵值為0,來隱藏自己.

4. 關閉在運行的安全軟體.

5. 創建以下互斥量，以阻止安全軟體運行.

KingsoftAntivirusScanProgram7Mutex

SKYNET_PERSONAL_FIREWALL

ASSISTSHELLMUTEX

AntiTrojan3721

6. 刪除一下鍵值來阻止安全軟體自啟動.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\RavTask

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KvMonXP

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\yassistse

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\YLive.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\JQbkgu

7. 如果在生成伺服器端時選擇了關閉QQ則在規定時間到達時關閉QQ.

8. 截獲用戶QQ帳號和密碼按照生成伺服器端時的設定來傳送出去(傳送到指定信箱或網站).