病毒大百科

该病毒是一个QQ盗号木马。它运行后会删除QQ医生的执行文件，然后注入QQ内存，读取用户的QQ号和密码。该病毒在偷QQ号的同时，还会记录用户的IP地址。

该病毒是一个QQ的盗号木马.病毒运行后会生成一个VXD文件，并把VXD文件注入到进程当中.

1.生成文件:
%Windir%\system32\SysYH.VXD

2.生成CLSID组件
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}
Default = ""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}\InProcServer32
Default = "%Windir%\system32\SysYH.vxd"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}\InProcServer32
ThreadingModel = "Apartment"

3.修改注册表,增加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{91B1E846-2BEF-4345-8848-7699C7C9935F}

4.病毒运行后会删除QQ医生的执行文件QQDoctor\QQDoctor.exe

5.病毒运行后会登录www.ip.cn网站来获得客户机器的IP地址.

6.病毒会在同目录下生成一个_xr.bat文件实现自删除.

6.病毒运行后会通过读取内存的方式截获客户QQ的账号,密码,等级,Q币等相关资料.然后把获得的QQ的相关资料发送到木马种植者的邮箱.