GOP是什么?GOP是Get OICQ Password的缩写,从这个名字我们就可以看出这是一个获取别人OICQ(现在应该称为QQ了)密码的木马软件!如果你还没有受到它的攻击,那可是幸运了,我认识它的过程可是代价惨重啊!
一天,我打开QQ,输入自己熟悉的密码后,静等着小企鹅的出现,谁知左等右等却等到了一个密码错误的提示窗口!再三确认自己的密码没有记错,当然也不会输错,那最大、最令人担心的可能就是自己的密码被盗用、更改!联想到前一阶段时间腾迅公司发来的提示密码保护的系统消息,联想到自己前一阶段收到的那些莫名其妙的E-Mail附件,就知道自己“幸运地中招”了……
那天像平时一样,一上网就收邮件。在收到的邮件中看见了一封比较奇怪的EMAIL,是人家转发来的,看了看邮件原始信息,邮件地址是陌生的,文件是一个用FALSH做成的.EXE文件,于是我就打开看看!一打开,我的金山毒霸防火墙就报警了,一看,原来是一个叫Trojan.GOP19HookDll.61440的木马,它感染了我的C:WINNTsystem32下的IMEKernel32.sys文件,文件被感染后,每运行其它程序,防火墙就报警,真有点烦了,想不清除它看来是不行了。
在我记忆中,这木马好像是黑QQ号的木马,由是就来到了QQ的网站,在最新下载->防木马软件->下载了个KILLGOP的清GOP工具(心想,哈哈!这下你就不再烦我了吧)。
打开KILLGOP进行对该木马的清除工作,等了好几分钟,扫描完了,但是什么也扫不出来呀!心就想,难道这木马已经不适合用这工具来清除了?于是就把金山毒霸升级到了最新版,再杀一次,还是不行(我倒!到底是什么木马呀?)。
于是又下了大名顶顶的The Cleaner了(当天出的版本),又扫了十来分钟,还是没有扫描出木马来。
没办法了,看来这木马是国产木马,就用手工清除它吧,在注册表里找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 哈哈,果然在这里,发现了在启动时加载了一个陌生的程序 “C:winntsystem32 kernel32.exe”,于是把该项删除了。马上重启一下系统,重启后马上查找IMEKernel32.sys这个文件,找到后就删除了这个文件。后来再用金山毒霸扫描一次!木马没了!系统回复正常!
大家一定一定要警惕不明邮件呀,最近我已经收到多封这类EMAIL了,主题或内容都是一些很让人开心的话。 什么“我的相片”,“送你一个小礼物”,“打开看看,望你喜欢。”什么什么的……