病毒名称：N/A（Kaspersky）
病毒别名：Win32.PSWTroj.QQ.ng.26409（毒霸）
病毒大小：26,373 字节
加壳方式：UPack
样本MD5：cb4c1144c291d49dcadda54e45ff2a73
样本SHA1：78b501502ffeab031afe32e058b4e8c08d999c53
发现时间：2006.11
更新时间：2006.11
关联病毒：
传播方式：通过恶意网页传播，其它木马下载

技术分析：
这是一个盗Q木马，盗取QQ号码和密码后发送到远程主机。

EXE主程序运行后释放dll文件到：
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\SysInfo.wmp
注入其它进程。

在当前目录生成批处理_xr.bat删除自身：

:try
del "原文件"
if exist "原文件" goto try
del %0

创建启动信息，通过ShellExecuteHooks启动：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}"=""

[HKEY_CLASSES_ROOT\CLSID\{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}\InProcServer32]
@="%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\SysInfo.wmp"

当QQ运行时病毒会删除npkcrypt.sys文件，破坏QQ的键盘密码保护。

清除步骤：

1. 删除病毒启动信息：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}"

[HKEY_CLASSES_ROOT\CLSID\{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}]

2. 重新启动计算机

3. 删除病毒文件：
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\SysInfo.wmp

4. 从其它安装有相同版本QQ的正常的系统里复制QQ安装目录下npkcrypt.sys文件，恢复被破坏的QQ键盘密码保护，或者重新安装QQ程序