该病毒运行后释放SysInfo.wmp文件和批处理文件，并运行批处理文件删除自身；修改注册表，实现木马开机自启动；创建钩子来盗取用户QQ号码及密码并发送到指定邮箱。超级巡警建议广大用户使用超级巡警保险箱保护各种账号，同时提醒广大用户及时更新病毒库，对该程序进行有效查杀。

　　一、病毒相关分析：

　　病毒标签：

　　病毒名称：Trojan-PSW.Win32.QQPass.jr

　　病毒别名：QQ大盗

　　病毒类型：木马类

　　危害级别：2

　　感染平台：Windows

　　病毒大小：39,117 字节

　　S H A 1  ：5ee7166f5e2617cf0bb54f4d6a6abb088b04448d

　　加壳类型：UPX 2.90 [LZMA]

　　开发工具：Borland Delphi 6.0 - 7.0

　　病毒行为：

　　1、释放以下病毒文件：

　　%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\SysInfo.wmp （22,221 字节）

　　_xr.bat（150 字节）（此文件病毒运行后自删除）

　　注：

　　bat代码如下：

　　:try

　　del "C:\Documents and Settings\Administrator\桌面\qq.Exe.v"

　　if exist "C:\Documents and Settings\Administrator\桌面\qq.Exe.v" goto try

　　del %0

　　2、添加以下注册表键值，达到随机自启动的目的：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

　　\CurrentVersion\Explorer\ShellExecuteHooks

　　数值名称：{08315C1A-9BA9-4B7C-A432-26885F78DF28}

　　类型：REG_SZ

　　数值数据：""

　　3、添加以下注册表项和键值，创建钩子来窃取密码：

　　HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F78DF28}\InProcServer32

　　数值名称：""

　　类型：REG_SZ

　　数值数据：C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo.wmp

　　数值名称：ThreadingModel

　　类型：REG_SZ

　　数值数据：Apartment

　　4、将所盗取的QQ号码及密码发送到以下指定邮箱：

　　huihui1919@126.com

　　huihui1920@126.com