这里有个插曲，木马的作者会给分析人员一些留言，内容如下:

wodexiaoshihouchaonaorenxingdeshihou

waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang

tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai

    由于我的小学拼音实在不怎么样，而且由于时间关系，所以这个内容留给感兴趣的人来解读吧。(没有标点符号的文章实在很难读啊)。

    这时如果启动QQ，通过ShellExecuteHooks，qn911.sys就会插入到QQ的进程空间中去了。

    等你输入密码后，qn911.sys就会将密码发送到你指定的邮箱中去。

    邮件内容如下：

    对决

    面对如此一个新颖，强悍，隐蔽的对手，终截者能防御吗？毛主席说过：实践是检验真理的唯一标准，那我们就用事实来说话吧。先将QQ加入终截者的密码锁保护列表内：

    启动木马进程，终截者对进程危险程序的判断还是很精准的。

   根据我的使用经验，能让进程防护危险等级框拉到底的绝大多数都是木马病毒等非正常程序了。