你们好，最近小艾特发现有诸多的小伙伴们对于乔乔在上海，qq木马这个问题都颇为感兴趣的，今天小活为大家梳理了下，一起往下看看吧。

1、 行为分析

2、 1.生成文件：

3、 %sys32dir%qqmm.vxd

4、 2.生成CLSID组件

5、 HKEY_CLASSES_ROOTCLSID

6、 HKEY_CLASSES_ROOTCLSID @ ''

7、 HKEY_CLASSES_ROOTCLSIDInProcServer32

8、 HKEY_CLASSES_ROOTCLSIDInProcServer32 @ 'C:WINDOWSsystem32qqmm.vxd'

9、 HKEY_CLASSES_ROOTCLSIDInProcServer32 ThreadingModel 'Apartment'

10、 3.修改注册表并添加启动项。

11、 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

12、 4.病毒运行后，会删除病毒源文件本身。

13、 5.病毒运行后，会将vxd文件注入进程中。

14、 6.病毒运行后，它会删除QQ医生的执行文件QQDoctorQQDoctor.exe。

15、 7.病毒运行后会登录Http://f * * * h . ch * * * en.com/IP/IP.php网站获取客户端机器的IP地址。

16、 8.病毒运行后，会通过读取内存的方式拦截客户的QQ账号、密码等相关信息，然后将获取的QQ相关信息发送到木马种植者的邮箱。

17、 典型病毒

18、 木马/PSW。QQpass.br

19、 病毒名称：QQ小偷16 38 40(不含空格)病毒别名：威胁等级：病毒类型：木马病毒盗取密码长度：163 840影响系统：Win9x Winme Win NT Win 2000 Win XP Win 2003。

20、 1.生成文件

21、 %sys32dir%explorer.exe

22、 %sys32dir%systemlr.dll

23、 2.生成注册表启动项目

24、 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun explorer.exe 'C:WINDOWSsystem32explorer.exe'

25、 3.病毒运行后，会生成一个病毒文件名的驻留进程。

26、 4.病毒还会将Dll文件注入explorer.exe和其他非系统进程。

27、 病毒会将窃取的密码发送到木马种植者的邮箱。

28、 通过聊天工具传播QQ盗号木马885 76(无空格)

29、 病毒名称：QQ盗号木马885 76病毒别名：威胁等级：病毒类型：木马病毒盗取密码长度：885 76受影响系统：Win9x Winme Win NT Win 2000 Win XP Win 2003。

30、 应付策略

31、 毕竟QQ木马是一个可以窃取你秘密的程序。它是一个捆绑文件，可以窃取你的QQ密码和聊天记录。平时不要在QQ上接收QQ上传的文件和别人打开的网站。在网吧上网时，会自动发送一个文件或网址。千万不要打开。

32、 除非对方是你熟悉的朋友，先问问是不是他发给你的。如果中毒了，用卡巴斯基在安全模式下杀。QQ硬盘里有一个QQ病毒查杀工具，可以下载杀毒。

33、 QQ病毒查杀工具

34、 现在很多杀毒软件都可以查杀大部分QQ木马。通过eXeScope，可以彻底改造QQ，让任何本地木马都防不胜防：因为他们不可能知道你在运行QQ，也不可能知道你在输入密码。

35、 从而就不可能窃取到你的QQ密码。

36、 找到QQ可执行档案的位置，将QQ目录拷贝到其他位置，并将其中QQ可执行档案换名，如改为“副件qq2000b.exe”。这样做的目的是为了防止木马使用第一种判断方法。

37、 使用ExeScope打开QQ的可执行档案，找到要修改的项。

38、 位置在[资源][对话框][对话框450]，修改QQ登录的标题栏。修改密码域的属性。

以上就是qq木马这篇文章的一些介绍，希望对大家有所帮助。