QQ木马“QQPass”祸害无穷-电脑教程

    病毒名称：Trojan.PWS.QQPass.gKb6
发现日期：2002-10-14
病毒类型：特洛伊木马
感染长度：123392字节
病毒危害：低
传播速度：低
受影响系统：Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
不受影响系统：Windows 3.x, Macintosh, Unix, Linux

技术特征：

这是一个盗取密码的木马程序，能够盗取密码及用户信息。由于它是一个Visual Basic应用程序，需要有Visual Basic库才能运行。运行后，它会：

1.搜索本地机器如下程序，一旦找到即会终止其进程：
Kav9x.exe
Smenu.exe
Ravmon.exe

2.将记事本程序%windir%Notepad.exe更名为%windir%Mspad.exe；

3.将自己复制为如下文件：
%windir%Eudcedit.exe
%windir%Freecell.exe
%windir%Kaedit.exe
%windir%Msscr.exe
%windir%Notepad.exe
%system%Mstray.exe

上述对系统的修改使得它与记事本进行关联，这样每次打开记事本文件时，木马都会运行。
随后它通过修改如下注册表来勾住系统:

（1）将键值SystemKav %system%MSTRAY.EXE
添加至HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun；

（2）将HKEY_LOCAL_MACHINESOFTWARECLASSESregfileshellopencommand
默认键值改为(Default) %windir%KAEDIT.EXE %1

（3）将HKEY_LOCAL_MACHINESOFTWARECLASSESscrfileshellopencommand
键值改为(Default) %windir%MSSCR.EXE %1

（4）将HKEY_LOCAL_MACHINESOFTWARECLASSESchm.fileshellopencommand
键值改为(Default) %windir%MSSCR.EXE %1

上述对注册表的修改，使得系统运行、打开注册表文件、运行屏保及打开编译过的帮助文件等操作时，木马都会自动运行。

木马源代码中含有如下字符串：
FileDescription: Task Monitor
InternalName: Winpad
OriginalName: Winpad.EXE