2. 在注册表的HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrent VersionRunonce中创建：“windows” = “%SystemDir%winscok.exe”。这样，病毒在系统启动时即可运行。

　　3. winscok.exe运行后，会调用install.dll，设置2个系统挂钩函数。用户只需在资源管理器中点击了鼠标左键，挂钩函数即被激活，以EXPLORER.EXE的身份调用winscok.dll。而病毒主程序winscok.exe此时结束运行。

　　4. winsock.dll被调用后，开启4个计时器，分别完成下面的事情：

　　每隔30秒，通过QQ聊天软件向用户的好友发送包含病毒网址的消息，可能发送的不同消息共有8条，如图：

　　每隔0.3秒，通过搜索传奇客户端窗口，尝试获取游戏帐号的密码和装备信息；

　　每隔1.5秒，通过直接读取传奇程序内存的方法，获取帐号信息；

　　每隔15秒，把盗取的用户信息发送给特定的邮箱。

　　针对该病毒，请您在收到符合上文描述的QQ消息时，千万不要点击消息中的网址，并立即升级杀毒软件的病毒库，查杀该病毒，保护您的系统不受其侵害。