病毒名称：Trojan-PSW.Win32.Delf.oc（Kaspersky）
病毒别名：Trojan.PSW.QQPass.qxp（瑞星）
　　　　　 Win32.Troj.PSW.QQ.34086（毒霸）
病毒大小：34,003 字节
加壳方式：NSPack
样本MD5：9bfbd1410ea834f7ce39edbeaef7e683
样本SHA1：35b3e15a38f37682c88f72c559ca54698d9cccaf
发现时间：2006.12
更新时间：2006.12
关联病毒：
传播方式：通过恶意网页传播，其它木马下载

技术分析
==========

这是一个盗Q木马，运行后复制自身到：
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll
释放动态链接库文件注入进程：
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys

在当前目录生成_xiaran.bat删除主程序原文件：

:try
del "exe"
if exist "exe" goto try
del %0

创建ShellExecuteHooks启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}"=""

[HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys"

创建注册表信息：

[HKEY_CURRENT_USER\Software\Microsoft\qqjdd]
"DL"="2"

清除步骤
==========

1. 删除病毒创建的ShellExecuteHooks启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}"

[HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}]

2. 重新启动计算机

3. 删除病毒文件：
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll

4. 删除病毒创建的注册表信息：

[HKEY_CURRENT_USER\Software\Microsoft\qqjdd]