病毒大百科

这是一个会利用QQ传播的木马下载器。该病毒运行后，会关闭任务管理器（taskmgr.exe）的进程，同时搜索并关闭系统中的卡巴斯基的警告提示框。它还会监视QQ即时聊天工具的进程，伺机向用户的好友发送挂马链接，并从网上下载其它恶意软件或者木马等。

1.复制文件：
%ProgramFiles%\Internet Explorer\InfoWin.Dll
%ProgramFiles%\Internet Explorer\InfoWin.Sys
另外，在当前目录创建批处理文件_Ms.bat来删除自身

2.添加到到注册表：
添加以下注册表项，添加到ShellExecuteHooks，开机自启动：
[HKEY_CLASSES_ROOT\CLSID\{7B65ECF0-8FAA-48FA-A42D-A80A21F0AEA9}\InProcServer32]
@ = "C:\Program Files\Internet Explorer\InfoWin.Sys"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7B65ECF0-8FAA-48FA-A42D-A80A21F0AEA9}\InProcServer32]
@ = "C:\Program Files\Internet Explorer\InfoWin.Sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{9B65ECF0-8FAA-48FA-A42D-A80A21F0AEA9} = ""

3.破坏方式
该木马运行后，复制文件到Internet Explore所在文件夹，添加到ShellExecuteHooks，随系统Explorer.exe启动，启动后注入到
Explorer.exe进程，创建独立的线程分别完成以下的动作：监视系统中是否有任务管理器（taskmgr.exe）的进程，有则尝试关闭，
另外如果监视到系统中有avp.exe，则关闭其警告框；创建消息钩子，建立消息循环，捕获系统对话框（#32770）消息，如果发现
是QQ聊天窗口，则在后台向该窗口发送信息；尝试连接网络，下载其他的恶意软件或者木马等。

4.相关网址
http://www.z**66.com/
可能通过该网址下载木马等。