文件名称：atmQQ2.dll

文件大小：37995 bytes

AV命名：

Trojan-PSW.Win32.QQPass.ajw  Kaspersky

PSW.OnlineGames.SXC  AVG

Trojan.PWS.Qqpass.1533  DrWeb

Trojan.PSW.Win32.QQPass.ywt  Rising

中文别名：金狐QQ大盗

加壳方式：UPX

编写语言：Delphi

文件MD5：ac708c44ffdc1641bcb68273491bb8ff

病毒类型：QQ木马

行为：

1、  释放病毒文件：

C:\Program Files\Common Files\Microsoft Shared\MSInfo\atmQQ2.dll  21839 字节

2、  添加注册表，开机启动：

Registry Group: Malware

Object:

Registrykey: HKCR\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}\InProcServer32

   Registry value: (Default)

      Type: REG_SZ

Value: C:\Program Files\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll

3、  atmQQ2.dll安装全局钩子，注入所有运行中的进程。

4、  检查路径：:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

如果发现，则修改系统时间，使其失效。

5、  尝试删除文件：QQDoctor\QQDoctor.exe，防止QQ登入前查杀木马。

6、  检查QQ.exe启动，并利用Hook技术记录键盘操作盗QQ帐号。

7、  关联系统外壳：

   Path: C:\WINDOWS\system32\verclsid.exe

   Information: Verify Class ID (Microsoft Corporation)

   Command line:/S /C {D544C22D-1F70-4B1E-873D-D8DABEB26695} /I {00000000-0000-0000-C000-000000000046} /X 0x401

8、释放一个批处理，删除载体。

解决方法：

1、  下载SREng(可到down.45it.com下载)，后断开网络，关闭不需要进程。

2、  删除启动项：

{D544C22D-1F70-4B1E-873D-D8DABEB26695}

3、  重启计算机，删除文件：

C:\Program Files\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll

其他：

修改正确的系统时间，重装QQ医生。