其中gop.exe是服务端,EditGOP.exe是服务端编辑器(如图)GOPSlit.exe是个整理发送记录的工 具。EditGOP的配置分为四个部分。
1.一般设置
复制到定义目录:下拉菜单中可以选择目录、目录、目录和源目录四种之一。这就是木马的藏身 之地。如果是在目录下,你还不可以直接删除!
运行后删除源文件:一般不要选上。(谁不知道运行后莫名其妙就消失的东东是木马!)
服务文件名(.EXE)/钩子文件名(.DLL):默认为sysexhook.exe/gHookDll.dll,位置为定义目录下 (上文所说四种目录之一),但这两个文件名可以随意更改!
定义注册表键名:木马一旦被运行过,就会在注册表中 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主键之下添加木马的键(默认值为 WindowsAgent,当然你也可以改的),以便今后每次开机时木马都能够自动运行。
当记录数超过××个时开始清理:当GOP记录文件中的记录数达到这个××值的时候自动对记录进 行清理(黑客真是坐享其成哦)。
2.邮件设置
SMTP:设置邮件发送服务器。知道这是干什么用的吗?当你上网的时候,GOP木马就会通过这个邮 [iduba_page] 件服务器把你的OICQ密码发送到黑客的邮箱里面,还可以进行当场测试!(哦,怪不得没有客户端呢)。
发送邮箱:这是黑客用来发送邮件的信箱帐号。国内的免费信箱的提供商大都对SMTP服务器进行 了限制,所以需要设置一个合法的邮件账号来发送信件。
接收信箱:接收GOP木马发送的OICQ号和密码记录文档的信箱,受害者密码的最终目的地。格式: OICQ: [OICQ号] || PASSWORD: [OICQ密码]
主题标识:黑客收到OICQ号和密码记录文档的主题。格式:[主题标识]-[服务端计算机的名 ]-GOPv1.2 by boomslang。这里可以区分从各地发过来的记录。
检查间隔(秒):设定GOP检查记录文档的时间间隔。如果检查时记录已经更新并且在线,就马上发 送记录。还可以设置邮件优先级(低、中、高),很像正规邮件嘛!
3.欺骗窗口
这里你可千万要注意!当你运行GOP木马(文件名不一定是GOP,所以千万要警慎!)的时候弹出一 个欺骗窗口。比方说,定义一个标题为“警告”,内容为“内存不足!”,图标为“叹号”的欺骗窗口。这样 在别人第一次运行这个木马的时候就会弹出定义的那个窗口,于是在神不知鬼不觉之中木马已经被植入电脑了 。还可以设置其它的弹出窗口(如图)
这就是你运行GOP木马所弹出来的窗口!
4.文件捆绑
该木马自带文件捆绑工具,真是很恐怖。以下是它的重要选项:
宿主文件:黑客可以在网上随便找一个小动画或者小程序,把它作为“寄生”的目标。所以你最好不要到不知名的网站下载东东,可能这就是一个陷阱哦!