病毒名称：Trojan-PSW.Win32.QQPass.ajo（Kaspersky） 　　病毒别名：Worm.Win32.PaBug.cf（瑞星），Win32.Troj.QQPassT.ah.110771（毒霸） 　　病毒大小：32,948 字节 　　加壳方式：UPX 　　样本MD5：772f4dfc995f7c1ad6d1978691190CDe 　　样本SHA1：e9d2bcc5666a3433d5ef8cc836c4579f03f8b6cc 　　关联病毒： 　　传播方式：通过恶意网页传播、其它木马下载、优盘及移动硬盘传播 　　技术分析 　　========== 　　木马运行后将自身复制到： 　　 Code: %ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.Jmp 　　%ProgramFiles%\Internet Explorer\PLUGINS\WinSys8z.sys 　　创建ShellExecuteHooks启动信息：  Code: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{F81F75C9-F974-4772-B72D-F28CBCD98C5F}"="" [HKEY_CLASSES_ROOT\CLSID\{F81F75C9-F974-4772-B72D-F28CBCD98C5F}\InProcServer32] @="%ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.sys" 　　代码: [HKEY_CURRENT_USER\Software\Tencent\Deta3] "Ft" 查找本机E盘，并在其根目录生成： Autorun.inf和Autorun.exe文件，试图通过优盘传播。 　　木马病毒运行后会自动从用户QQ中随机挑选好友，组成临时讨论组。它会向组中好友发送内容为“www.fxxxxx.cn/1651.rar这里有我的照片帮我顶下记得回复我哦点击就可下载”的消息。讨论组中的其他用户打开链接中的文件就可能被病毒感染。木马会访问网络下载其它病毒、木马或[url=http://www.pxue.com/Tag/93/1.html]恶意程序[/url]到临时目录并运行。 　　清除步骤 　　========== 　　1. 删除木马创建的ShellExecuteHooks项(开始菜单－运行－输入“regedit”进入注册表依次找到说明选项并按提示操作)：  　　代码: 　　 Code: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{F81F75C9-F974-4772-B72D-F28CBCD98C5F}" 　　[HKEY_CLASSES_ROOT\CLSID\{F81F75C9-F974-4772-B72D-F28CBCD98C5F}] 　　2. 重新启动计算机 　　3. 删除木马文件： 　　 Code: %ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.Jmp 　　%ProgramFiles%\Internet Explorer\PLUGINS\WinSys8z.sys 　　如果存在E盘，删除： 　　 Code: E:\Autorun.inf 　　E:\Autorun.exe 　　4. 删除注册表信息(开始菜单－运行－输入“regedit”进入注册表依次找到说明选项并按提示操作)：  　　 Code: [HKEY_CURRENT_USER\Software\Tencent\Deta3]