Win32.PSWTroj.QQPass.102522

这是一个针对QQ聊天软件的盗号木马程序。它将自身复制到Internet Explorer的插件目录，然后修改注册表实现开机自启动。最终注入系统进程中查找QQ进程，伺机盗取QQ号及其密码。

这是一个用Delphi编写的盗号木马程序。病毒运行后会将自身复制至Internet Explorer的插件目录，并释放文件，使用ShellExecuteHooks技术
以开机自启动，然后通过HOOK技术注入至系统进程，查找QQ进程是否存在，如果存在则尝试盗取用户QQ号码和密码发送至远程服务器。

1.生成文件
%programfiles%\Internet Explorer\PLUGINS\NvSys74.Sys
%programfiles%\Internet Explorer\PLUGINS\NvSys74.Tao
%programfiles%\Internet Explorer\PLUGINS\NvWin75.Jmp
%programfiles%\Internet Explorer\PLUGINS\NvWin65.Lst

2.生成注册表项
HKEY_CLASSES_ROOT\CLSID\{5BD41097-3693-4133-820E-FDAC57AF00E2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5BD41097-3693-4133-820E-FDAC57AF00E2}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks{5BD41097-3693-4133-820E-FDAC57AF00E2}
HKEY_CURRENT_USER\Software\Tencent\OkFt"kk"

3.病毒通过注入系统exe进程，查找QQ.exe进程，如果找到则开始盗取用户QQ号码和密码，并发送至远程服务器
hxxp://www.v**9v.com/q**q/q**q.asp

5.病毒还会通过FindWindowExA查找桌面程序是否Tencent_QQBar和Tencent_QQToolBar，存在则向窗口送入SC_CLOSE消息

5.尝试连接网站来获取当前用户计算机的IP地址和所在城市
hxxp://f***h.ch***en.com/ip/ip.php