是一种IM软件QQ盗号木马2003年4月8日，瑞星全球反病毒监测网在国内率先截获“QQ木马”病毒的一个最新变种，并将之命名为：“QQ木马变种(Trojan.QQpass7)”。该病毒除了盗取用户的QQ密码外，还能与外部黑客程序沟通，导致用户计算机的信息被泄密。最重要的是该病毒会在硬盘上的所有文件夹中都拷贝一份病毒复本，浪费大量硬盘空间，并且，该病毒还会利用启动光盘的技术，在每个分区的根目录下建立一个名为：autorun.ini的文件，只要用户查看被感染分区，病毒就会立即运行。

WINDOWS下的PE病毒(2)(1.Trojan.QQpass7 2.Trojan.QQpass7.enc)

病毒的发现与清除

WINDOWS下的PE病毒(2)

1.Trojan.QQpass7

破坏方法：该病毒是用delphi编写的,使用aspack压缩.

该病毒遍历盘符为c:到y:的硬盘目录，在每一个目录中放一个病毒的复本文件名为随机，除c:的其它盘根目录下放置一个autorun.ini文件，以达到用户点击该盘图标时启动病毒的目的。病毒还在注册表run项中增加自己的键值修改ini,reg,scr,exe,txt,chm的文件关联. 病毒运行后将间隔一小段时间修改一次注册表，以保证自己的修改没被更改。

2.Trojan.QQpass7.enc

警惕程度：★★★★

发作时间：随机

病毒类型：木马病毒

传播方式：网络

依赖系统: Win9X/NT/2000/XP

感染对象：硬盘文件夹、硬盘中的exe文件

病毒介绍：

2003年4月8日，瑞星全球反病毒监测网在国内率先截获“QQ木马”病毒的一个最新变种，并将之命名为：“QQ木马变种(Trojan.QQpass7)”。该病毒除了盗取用户的QQ密码外，还能与外部黑客程序沟通，导致用户计算机的信息被泄密。最重要的是该病毒会在硬盘上的所有文件夹中都拷贝一份病毒复本，浪费大量硬盘空间，并且，该病毒还会利用启动光盘的技术，在每个分区的根目录下建立一个名为：autorun.ini的文件，只要用户查看被感染分区，病毒就会立即运行。

病毒的发现与清除

如果用户发现计算机中有这些特征，则很有可能中了此病毒，可以按照下面所说的方法手工清除“QQ木马变种（Trojan.QQpass7）”病毒。

1. 该病毒会在C盘根目录下建立一个名：DebugFi.txt的文件，可以直接将该文件删除。

2. 该病毒会利用自启动光盘技术，在每一个硬盘分区下建立一个名为：autorun.ini的文件，可以直接将该方件删除。

3. 该病毒会搜索硬盘的C-Y分区，在找到的每一个文件夹中都放入一个随机命名的病毒复本，用户可以查看一下经常接触的目录，看是否有新产生的可疑文件，如果可以确认该文件的来源，则可以直接将该病毒文件删除，如果不能确认，则最好用相关杀毒软件的最新版本进行清除。

4. 病毒会修改注册表中的：HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun项，创建指向病毒路径的键值，键值与路径不定，熟悉注册表的用户可以用REGEDIT等注册表编辑工具进行查看，看是否有可疑键值，如果有可以直接将该键值删除，以防止病毒自启动。

用户如果发现上述情况该很有可能是中了“QQ木马变种（Trojan.QQpass7）”病毒，可以按照上述方法手工清除该病毒。

5、直接将硬盘内文件隔离备份至移动硬盘或其他电脑，进行杀毒后，格式化硬盘，再将备份导入。

用户如果想彻底清除该病毒，也可以采用瑞星杀毒软件2003版或瑞星在线杀毒服务进行清除, 对于有局域网的企事业单位，最好采用网络版进行全网监控与全网杀毒。

为避免用户遭受损失，瑞星公司已于截获此病毒当天就进行了紧急升级，瑞星杀毒软件15.30.01及以上的版本可以自动截获并清除此病毒，望广大用户及时升级。目前瑞星用户只需及时升级手中的软件即可彻底拦截“QQ木马变种（Trojan.QQpass7）”病毒。