病毒大百科

该病毒是一个QQ的盗号木马.病毒运行后会生成一个BAK文件，并把BAK文件注入到进程当中.

1.生成文件:
%Windir%\system32\SysYH.BAK

2.生成CLSID组件
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}
Default = ""
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}\InProcServer32
Default = "C:\WINDOWS\system32\SysYH.bak"
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}\InProcServer32
ThreadingModel = "Apartment"

3.修改注册表,增加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{91B1E846-2BEF-4345-8848-7699C7C9935F}

4.病毒运行后如果发现%Windir%\system32目录下有SysYH.BAK文件存在，则删除SysYH.BAK文件，重新生成SysYH.vxd文件.

5.病毒运行后会登录www.ip.cn网站来获得客户机器的IP地址.

6.病毒会在同目录下生成一个_xr.bat文件实现自删除.

6.病毒运行后会通过读取内存的方式截获客户QQ的账号,密码,等级,Q币等相关资料.然后把获得的QQ的相关资料发送到木马种植者的邮箱.