【IT168 专稿】前几日，一个朋友中了一个病毒，他的qq上线后就会自动发给好友一个网址。这个病毒弄的他叫苦不迭，我应邀到那个网之看了一下，发现了病毒传播的过程，在此把发现过程共享一下给大家，希望大家对病毒能够引起重视，同时也不要害怕，正确的对待它。

    下面的信息是关于这个病毒的一个变种在瑞星病毒库资料里的信息：

    Trojan.Legend.Syspoet.b.enc

    WINDOWS下的PE病毒：美女杀手

    VB写的盗游戏密码的木马，采用UPX压缩,一旦执行，病毒将自我复制到系统文件夹:

    %SYSDIR%\filename.exe

    它将创建下列注册表键值来使自己随Windows系统自启动:

    HKLM\SoftWare\Microsoft\Windows\CurrentVersion\RunServices

    "filename.exe"="filename.exe"

    HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run

    "filename.exe"="filename.exe"

    其中"filename"可能会变化.比如:"sobsm.exe".

    它将终止带有下列字眼的程序的执行：

    瑞星
    金山毒霸
    江民
    专杀
    毒
    木马
    防火墙
    监控
    注册表编辑器
    任务管理器 
    进程列表
    进程管理
    Antivirus
    Trojan
    REGSNAP
    REGSHOT
    REGISTRY MONITOR
    W32DASM
    它通过QQ发送虚假消息给在线好友,导致在线好友上当,有鉴于此,希望用户收到带有下列链结的请不要访问:

    http://qiumei.3322.org/zhaopian/me.jpg
    http://jiawei.6600.org/zhaopian/me.jpg
    http://siting.8800.org/zhaopian/me.jpg
    http://qianhui.9966.org/zhaopian/me.jpg  

    它将盗取游戏“传奇”的各种信息:

    账号 
    区域
    服务器
    密码
    附加

    同时它还将盗取的信息发送到可配置的指定邮箱。

    注: %SYSDIR% 是可变的WINDOWS系统文件夹，默认为： C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), 或 C:\Windows\System32 (Windows XP)、
%WINDIR% 是可变的，是WINDOWS的安装目录(默认为： C:\Windows or C:\Winnt).