我的电脑有时候会弹出一个小男孩的声音说:“我来了，世卫组织怕世卫组织？”"

2004年4月13日，姜敏反病毒中心率先拦截了“武汉男孩”变种。(特洛伊/QQMsg.WhBoy. bb)。特洛伊通过QQ传播，专门盗取游戏账号和密码，通过邮件发给病毒作者。

特洛伊/QQMsgWhBoy.bb

病毒类型:特洛伊马

病毒大小:124416字节

沟通方式:网络

特洛伊/QQMsg“武汉男孩”特洛伊的最新变种WhBoy.bb，窃取传奇游戏的密码，可以通过QQ聊天软件传播病毒网站。与之前很多变种不同的是，这次“武汉男孩”采用了全新的插线技术，可以更好的隐藏自己，规避常见的病毒检测手段，增加查杀难度。

具体技术特征如下:

1.病毒运行后，将在用户的计算机中创建以下三个文件:

%SystemDir%\winscok.exe，124416字节，病毒本身。

%SystemDir%\install.dll，29696字节，安装模块。

%SystemDir%\winscok.dll，59904字节，函数模块

2.在注册表中的HKEY _当前_用户\软件\微软\ Windows \当前版本\ Runonce下创建“Windows”= " % systemdir % \ winscok . exe "，这样病毒就可以在系统启动时运行。

3.winscok.exe运行后，它将调用install.dll并设置两个系统钩子函数。用户只需在资源管理器中点击鼠标左键，钩子函数被激活，以EXPLORER.EXE的身份调用winscok.dll。而winscok.exe，病毒主程序，此时结束运行。

4.winsock.dll被呼叫后，启动四个定时器分别完成以下事情:

每隔30秒，通过QQ聊天软件向用户好友发送包含病毒网站的消息。可能会发送8种不同的消息。

每0.3秒，通过搜索传奇客户端窗口，尝试获取游戏账号的密码和装备信息；

每1.5秒，通过直接读取传奇程序的内存获得账户信息；

每15秒发送一次被盗用户信息到特定邮箱。