近期，网友反映，使用QQ时，机器上的微点主动防御软件报警，提示自动捕获Trojan-PSW.Win32.QQPass.khd盗号木马。

据与微点安全工程师进一步交流，这是一个典型的QQ盗号木马程序，采用Upack方式加壳，长度为31,331字节。该木马运行后会下载多个病毒程序，将自身注入QQ.exe进程中，删除QQ目录下的键盘加密文件npkcrypt.sys。然后加载文件LoginCtrl.dll，破坏QQ的键盘加密锁，通过监视键盘输入来盗取QQ账号密码，最后将窃取的账号密码通过邮件发送给黑客。

另外微点主动防御软件还自动捕获一个专门盗取QQ三国游戏账号密码的木马程序——Trojan-PSW.Win32.OnLineGames.agkz，这个木马采用unpack方式加壳，长度为16,187字节。该木马程序运行后，把病毒文件注入到桌面Explorer.exe文件中，强行关闭QQ医生进程QQDoctorMain.exe，替换QQDoctor\\tm000001.tsd文件，以彻底破坏QQ医生，从而解除QQ三国的保护，以实现黑客顺利盗取游戏账号。通过读取游戏程序内存方式盗取账号密码，并将窃取的账号密码通过网络发送给黑客。

微点主动防御软件在发现该病毒后报警提示“发现未知木马”，网友直接选择删除处理(如图1)，有惊无险，解除警报！

图 1

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: