Trojan-PSW.Win32.QQPass.jqz木马是使用Delphi编写的盗号程序，病毒扩展名为exe，主要通过网页木马、文件捆绑方式传播，病毒主要盗取QQ帐号和密码

Trojan-PSW.Win32.QQPass.jqz被执行后，遍历进程查找“qq.exe”、“360Tray.exe”、“360Safe.exe”、“TXPlatform.exe”将其关闭；遍历进程查找“avp.exe”，如果找到则修改系统时间使其不能正常使用；在%ProgramFiles%\Common Files\Microsoft Shared\MSINFO目录下释放动态库“atmQQ2.dll”，修改文件属性为隐藏、系统；以命令行的方式拷贝自身到C:\Documents and Settings\All Users\「开始」菜单\程序\启动目录下，重命名为“系统补丁*****.exe”；修改如下注册表健值使进程“explorer.exe”以及由“explorer.exe”启动的进程自动加载动态库“atmQQ2.dll”；以命令行的方式将病毒原程序删除；

项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
健值：{D544C22D-1F70-4B1E-873D-D8DABEB26695}
指向数据：

项：HKCR\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}\InProcServer32\
健值：默认
指向数据：%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll

atmQQ2.dll加载运行后，使用API函数DeleteFileA将QQ医生文件：“QQDoctor\QQDoctorMain.exe”、“QQDoctor\QQDoctor.exe”删除；病毒试图通过全局挂钩将动态库“atmQQ2.dll”注入到所有进程中；枚举窗口查找QQ登录窗口，通过记录键盘信息获取QQ帐号和密码，并将其保存在%systemroot%\system32\QQNumber.ini，在后台开启一线程通过HTTP协议将木马所截获信息发送到盗号者收信空间中