该病毒为QQ盗号木马，该病毒利用了修改指定目录下的*.LNK快捷方式来达到开机启动的目的，病毒会在复制自身到系统目录下，创建一个目录专门用来存放被修改过的*.LNK快捷方式文件作为备份，如果发现LNK文件被修改过则不会重复修改，遍历进程查找QQ.EXE进程，发现后结束其进程并开始准备窃取QQ的账号信息，窃取完毕后用URL方式上传到病毒作者所指定的地址中。

手工清除请按照行为分析删除对应文件，恢复相关系统设置。
推荐使用ATool管理工具，

（1）使用ATOOL管理工具-进程管理-结束qsetup.exe进程。

（2）强行删除病毒文件
c:\Program Files\qcat\qsetup.exe

（3）恢复被修改的LNK快捷方式文件
打开c:\Program Files\qcat\qcat.ini配置文件根据配置文件的记录信息，复制c:\Program Files\qcat\tmpdata目录下的LNK覆盖掉病毒修改过的LNK快捷方式文件

病毒流程图

行为分析-本地行为


1、衍生相同文件到以下目录分别命名为
c:\Program Files\qcat\qsetup.exe
c:\Program Files\qcat\qcat.ini

2、病毒运行后对进程进行提权操作，在%Program Files%目录创建一个qcat目录，并将自身拷贝到创建的目录内命名为qsetup.exe，调用函数执行拷贝之后的病毒文件，衍生BAT批处理文件删除病毒原文件，这个病毒文件循环遍历Quick Launch、开始菜单目录查找并修改*.LNK快捷方式文件，定位到PE文件位置获取文件属性，如果获取属性失败则继续查找下一个，找到之后将快捷方式文件拷贝到创建的qcat目录下的tmpdata目录内作为备份。

3、在qcat目录下创建一个qcat.ini配置文件作为修改记录，调用COM库文件修改LNK快捷方式的目标路径在原路径前添加"C:\Program Files\qcat\qsetup.exe"，如果发现已被修改过的LNK文件就不再重复修改，病毒利用这个技术达到无需添加注册表启动项也可以开机有机会运行病毒的目录，当用户执行快捷方式时病毒就会被加载而不会影响正常程序的执行，很难被用户察觉，遍历进程查找qq.exe找到之后将其结束，窃取QQ的账户信息以URL方式提交到病毒作者地址中。