1月9日，江民快速反病毒小组三天截获四种武汉男生变种病毒， Trojan.QQMsg.WhBoy.f、Trojan.QQMsg.WhBoy.g、Trojan.QQMsg.WhBoy.h、Trojan.QQMsg.WhBoy.i，病毒大小分别为56,832、62,464、56,832、93,696字节(两个文件)，主要通过网络传播。据江民监测数据表明，目前该病毒在网吧已几乎接近泛滥的程度。

    病毒发作后，会利用QQ聊天工具进行传播，定时给QQ网友发送包含网址的信息来诱使用户点击，该网页利用了IE的Object Data漏洞下载并运行病毒本身，该漏洞是由HTML中OBJECT的DATA标签引起的。对于DATA所标记的URL，IE会根据服务器返回的HTTP头来处理数据。如果HTTP头中返回的URL类型Content-Type是Application/hta，那么该URL指定的文件就能够执行，无论IE设置的安全级别有多高。

    病毒运行后，会给用户的QQ网友发送同样的信息，盗取传奇密码并以邮件形式发给盗密码者，并且结束多种反病毒软件，以保护自身不被清除。

    感染过程：
    (1)如果点击病毒网页，将会显示美女图片（如图1），而同时弹出一个标题为“asp空间”的不可见窗口。此网页利用IE漏洞，下载并运行leoexe.gif和leo.asp文件，其中leoexe.gif并不是图像文件，而是exe类型的病毒体，leo.asp是病毒释放器；

    (2)如果病毒一旦运行，将结束大部分杀毒软件、防火墙以及某些病毒专杀工具；

    (3)每隔一段时间给QQ网友发送信息（病毒可能发送的信息如图2）:

    (4)病毒运行后会复制自身到系统目录下，文件名是updater.exe、Systary.exe、sysnot.exe,并在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices中添加：“windows update” = “%windir%systemupdater.exe”。%windir% 是Windows 系统的安装目录，在不同系统下该目标表现可能不同，可能的有：c:windows；c:winnt 等。

    (5)修改文本文件（*.txt）关联和可执行文件关联，直接指向病毒本身，如果用户运行任意的txt文件和exe文件都会激活病毒，例如修改关联如下:

    (6)病毒会在计算机中搜索传奇游戏的帐户、密码以及其他信息，发送到指定的E-Mail信箱。