Worm.Gop.3

2008-02-23 09:19:39来源：互联网阅读 ()

病毒名称: Worm.Gop.3 类别：蠕虫病毒病毒资料： ①释放自身及动态库到系统目录、然后Hook进程。

②偷取OICQ口令，通过网络发送自己。并且会关闭OICQ。

③此蠕虫自身捆绑了一个DLL，和一个随机的文档，当此病毒运行后会在系统目录下释放出一个kernelsys32.exe，此EXE文件就是病毒本身去掉文档部分，然后将kernelsys32.exe启动。

④在临时目录下将自身带的文件释放出来，并将此文件打开，借此来掩饰自己的行为。

⑤Kernelsys32.exe会释放出一个IMKERNEL32.SYS的文件，并给系统下了一个窗体过程钩子，利用此钩子将IMKERNEL32.SYS注入其他的进程空间内，IMEKERNEL32.SYS注入进程空间内后就开始窃取本地的QICP的帐号和密码。

⑥IMEKERNEL32.SYS从
c:\program file\oicq\dat\oicq2000.cfg中窃取本地的QICQ的帐号，然后当QICQ启动时，它会判断当前的窗口标题如果是“QQ用户登录”或是“OICQ用户登录”就将窃取用户输入的密码，并将密码和帐号保存在系统目录下的drocerr.sys文件中，同时备份到系统目录下的drocerrbk.sys文件中。

⑦查找最近打开过的文件，如果是以下类型（bmp,rtf,doc,txt,gif,jpeg,jpg）并且小于80k,就将此文件捆绑在自己后面，形成一个exe作为附件发送给别人。这样收信人会以为收到了一个无害的文件，一但在Outlook EXPress或者windows中预览了这个邮件，会立刻感染这个蠕虫。

⑧信件的主题为以下之一：

想念你的模样
想我的小宝贝了
快乐
给我永恒的爱人
我爱你
想念
我在等着你
吻你
你是我的女主角
爱,有时候真的不能去比较的
哎
Fw:姐姐的照片
记得收好我的照片呀！
xue
您的朋友
张
给您寄来贺卡

信件的内容为各种情书。

⑨此蠕虫会泄漏用户的oicq帐号和密码，此外，向外传播时会将用户的文档传送出去，也会造成泄密。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ：木马加蠕虫病毒Worm.Gop.3，依赖系统Windows 9x/2000，驻留运行。

发现日期： 2001-12-13

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有