转自金山毒霸论坛：

网友：虎子哥，昨天我的QQ登录时，提示在别的地方

登录过，感觉QQ号被盗了，QQ医生也提示损坏。上网

用金山在线杀毒查到一个PSWTroj.QQPass.xv.139363

的病毒。还好我的QQ有密保，我也没什么可偷的。这

些盗QQ的太可恨了，这个病毒是怎么进来的，怎样避

免以的再中。

蔫老虎：
在金山毒霸百科中，我查到了这个病毒的技术分析。

这是个以盗号为目的的QQ木马，木马会生成一个

SysWFGQQ2.dll的文件，并把这个DLL文件注入到其它

正常程序的进程中运行。同时，该木马会尝试删除QQ

医生的执行文件。

以下是病毒行为：
1.生成的病毒文件为C:\Program Files\Common

Files\Microsoft Shared\MSInfo\SysWFGQQ2.dll

2.病毒会生成CLSID组件
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-

8848-7699C7C9935F}   
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-

8848-7699C7C9935F}
Default = ""
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-

8848-7699C7C9935F}\InProcServer32 
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-

8848-7699C7C9935F}\InProcServer32
Default = "C:\Program Files\Common

Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll"
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-

8848-7699C7C9935F}\InProcServer32

ThreadingModel = "Apartment"

3.修改注册表,在程序执行挂勾中添加CLSID的相关值

，实现开机自启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C

urrentVersion\Explorer\ShellExecuteHooks\{91B1E

846-2BEF-4345-8848-7699C7C9935F}

4.病毒运行后会删除QQ医生的执行文件

QQDoctor\QQDoctor.exe

5.病毒运行后会登录www.ip.cn网站来获得客户机器的

IP地址.

6.病毒运行后会通过读取内存的方式截获客户QQ的账

号,密码,等级,Q币等相关资料.然后把获得的QQ的相关

资料发送到木马种植者的邮箱.

相信很多QQ用户只有QQ号可偷，不要以为这样损失就

会小，偷QQ号的人需要的是你的交际圈，买QQ号的人

，会通过你的QQ对你的朋友进行二次攻击。手段花样

很多，你的朋友可能因此受害。

防护建议：
注意及时更新系统补丁，使用金山清理专家的反网页

挂马功能，减少上网浏览时中木马的机会。QQ聊天时

，对网友发来的链接，文件，小心打开。注意及时升

级杀毒软件，减少风险。

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)