病毒别名：处理时间：2006-09-06威胁级别：★
中文名称：病毒类型：木马影响系统：win9x/me,win2000/nt,winxp,win2003
病毒行为:
这是一个盗取qq号码的木马。病毒运行后会将qq安全锁文件npkcrypt.sys改名为npkcrypt.bak，使安全锁失效，并安装键盘钩子，记录键盘。


1、病毒运行后会首先查找系统目录下是否有如下病毒文件：
%system%\hook.dll
%system%\svch0st.exe
如果没有则生成。
注意"svch0st.exe"中间的是数字零,病毒以此伪装成系统文件。

2、病毒运行svch0st.exe病毒文件，生成_deleteme.bat文件，病毒结束自身进程后删除自身。

3、添加如下注册表键值以便开机自动运行
[hklm\software\microsoft\windows\currentversion\run]
"autorun"="c:\windows\system32\svch0st.exe"

4、svch0st.exe运行后加载hook.dll，将qq目录下的npkcrypt.sys文件改名为npkcrypt.bak，使qq的键盘安全锁失效。

5、安装全局钩子对系统进行监视，记录键盘。

6、连接网络，提交密码。