木马永远不会放弃感染驻扎电脑的机会。不安全的系统在访问恶意网站时，将会被网页中含有的木马攻陷，即使网民不访问恶意网站，那么U盘，网络压缩包局域网依然可以成为木马的感染途径。小到个人电脑用户，大到企业网络服务器管理人员，无不对其深恶痛绝。

    Trojan-PSW.Win32.Delf.zh简介
    此马为盗QQ的木马，利用开启监视功能，能准确的将QQ帐号与密码发送到木马人指定接收地址，从而使得盗取者获得信息并登陆。

    此木马可以产生很多变种如：system.jmp system.sys、system.jmp system16.sys、NewInfo.bmt system.2dt等，都直接威胁QQ使用者安全。

   木马分析
该木马感染计算机后，首先将自身病毒源文件复制到%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\目录下，生存System6.jup文件，随后释放DLL注放进程到%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\下，文件名为System6.ins，此时木马首要任务完成，开始写入注册表。

    在注册表中木马首先会在分支[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下加入启动信息{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}"="及[HKEY_CLASSES_ROOT\CLSID\{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}\InProcServer32]下的@=%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\System6.ins信息，随后添加注册表[HKEY_CURRENT_USER\Software\Tencent\Ie]键值"First"。

    最后木马将自动连接网络相关地址，下载其它第三型病毒、木马或恶意程序到计算机临时目录（TEMP）中，进一步感染计算机，让其成为木马病毒大本营。

    清除方法
    木马显然很令人讨厌，但网民却可以从清除中学到不少知识，而经验正是今后对付新型木马的参照之本。首先中马网民要从注册表入手，先删除木马创建的ShellExecuteHooks项，位于注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下的{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}及注册表[HKEY_CLASSES_ROOT\CLSID\{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}]下的项目，随后重新启动计算机。

    重新启动计算机开始删除木马自身文件System6.jup和System6.ins，两者都位于%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\目录下，最后再次进入注册表找到[HKEY_CURRENT_USER\Software\Tencent\Ie]将其键值删除，即可全面清理掉该盗QQ木马了。

    笔者按：虽然一般木马都是利用复制自身文件到系统中，然后通过修改注册表，达到木马自启动的目的，但其中如果多出了线程注入及与系统挂钩的方式，那么对其清理将困难于目前的木马查杀。这里提醒用户，在使用电脑时一定要多加注意其安全性。