Win32.Troj.WHBoy2005.j

Win32.Troj.WHBoy2005.j是一个窃取传奇网游密管这稳着酸酒发打码的木马病毒，是武汉男生2005系列的第10个变种。

• 中文名称 武汉男生2005
• 外文名称 Win32.Troj.WHBoy2005.j
• 病毒类型 木马
• 影响系统 Win9x/WinNT
• 处理时间 2005-01-13

　　病毒行为:

　　1、将自身拷贝到 %System%\whboy.exe

　　2、将自身拷贝到 %WindowsRoot%\bak.exe

　　3、释放dll文件到 %System%\whboy.dll，该文坏检们止条右轴无改凯丝件毒霸命名为 Win32.Troj.WHBoy2005Dll.j.123392

　　4、将释放的d来自ll注入到 explor娘把唱er.exe 进程

　　5、在注册表以下位置

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT冷福北了刚弦\CurrentVersion\Winlogon

　　修改值 "She专陆回粮买练雨克ll"

　　为 "Shell" = "Explorer兰画促听座走身.exe %System%\whboy.exe"

　　6、该病毒会通过 QQ、MSN、UC、POPO2004 向好友发送消息，诱越苗导信骗好友点击带毒网站地址，导致好友系统感染病毒。

　　新增加内容如下:

　　如果点击病毒网页将显示美女图片，同时弹出标题为"asp空间"的不可见窗口。此网页360百科利用IE漏洞，下载并运行leoexe.gif和leo.asp文件，其中leoexe.gif是exe类型的病毒体，leo.asp是病毒释放器;每隔一段时间给QQ网友发送信子次适倒请成息，病毒运行后复制自身到系统品区似听证汉酸目录下，文件名是updater.exe、Systary.exe、sysnot.exe,修改文本文件(*.txt)关联和可执行文件关联，用户运行任意的txt文件和exe文件都会激活病毒。病毒在计算机中搜索传奇游戏的帐户密码以及其他信息，发送到指定信箱。

　　清除病毒方法是，删除病毒在系统目录下释放的病毒文件，删除病毒在注册表下生成的键值，运行杀毒软件端异或章石，对病毒进行全面清除。