『武漢男生』病毒網上泛濫 狂盜傳奇帳號[圖]

　　1月9日，反病毒小組三天截獲四種武漢男生變種病毒，Trojan.QQMsg.WhBoy.f、Trojan.QQMsg.WhBoy.g、Trojan.QQMsg.WhBoy.h、Trojan.QQMsg.WhBoy.i，病毒大小分別為56,832、62,464、56,832、93,696字節(兩個文件)，主要通過網絡傳播。據監測數據表明，目前該病毒在網吧已幾乎接近濫泛的程度。

　　病毒發作後，會利用QQ聊天工具進行傳播，定時給QQ網友發送包含網址的信息來誘使用戶點擊，該網頁利用了IE的tData漏洞下載並運行病毒本身，該漏洞是由HTML中T的DATA標簽引起的。對於DATA所標記的URL，IE會根據服務器返回的HTTP頭來處理數據。如果HTTP頭中返回的URL類型Content-Type是Application/hta，那麼該URL指定的文件就能夠執行，無論IE設置的安全級別有多高。

　　病毒運行後，會給用戶的QQ網友發送同樣的信息，盜取傳奇密碼並以郵件形式發給盜密碼者，並且結束多種反病毒軟件，以保護自身不被清除。

　　感染過程：

　　(1)如果點擊病毒網頁，將會顯示美女圖片(如圖1)，而同時彈出一個標題為『asp空間』的不可見窗口。此網頁利用IE漏洞，下載並運行leoexe.gif和leo.asp文件，其中leoexe.gif並不是圖像文件，而是exe類型的病毒體，leo.asp是病毒釋放器；

　　(2)如果病毒一旦運行，將結束大部分殺毒軟件、防火牆以及某些病毒專殺工具；

　　(3)每隔一段時間給QQ網友發送信息(病毒可能發送的信息如圖2):

　　(4)病毒運行後會復制自身到系統目錄下，文件名是updater.exe、Systary.exe、sysnot.exe,並在注冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices中添加：『windowsupdate』=『%windir%systemupdater.exe』。%windir%是Windows系統的安裝目錄，在不同系統下該目標表現可能不同，可能的有：c:windows；c:winnt等。

　　(5)修改文本文件(*.txt)關聯和可執行文件關聯，直接指向病毒本身，如果用戶運行任意的txt文件和exe文件都會激活病毒，例如修改關聯如下:

　　(6)病毒會在計算機中搜索傳奇游戲的帳戶、密碼以及其他信息，發送到指定的E-Mail信箱。

　　相關新聞：

　　騰訊QQ用戶注意 上網聊天警惕『武漢男生』

　　中國傳奇抄襲韓國傳奇？首例網絡游戲跨國案開打

　　『QQ狂盜王』等病毒本周作亂 可造成經濟損失