病毒名称:
Worm.Gop.3
类别: 蠕虫病毒
病毒资料:
①释放自身及动态库到系统目录、然后Hook进程。
②偷取OICQ口令,通过网络发送自己。并且会关闭OICQ。
③此蠕虫自身捆绑了一个DLL,和一个随机的文档,当此病毒运行后会在系统目录下释放出一个kernelsys32.exe,此EXE文件就是病毒本身去掉文档部分,然后将kernelsys32.exe启动。
④在临时目录下将自身带的文件释放出来,并将此文件打开,借此来掩饰自己的行为。
⑤Kernelsys32.exe会释放出一个IMKERNEL32.SYS的文件,并给系统下了一个窗体过程钩子,利用此钩子将IMKERNEL32.SYS注入其他的进程空间内,IMEKERNEL32.SYS注入进程空间内后就开始窃取本地的QICP的帐号和密码。
⑥IMEKERNEL32.SYS从
c:\program file\oicq\dat\oicq2000.cfg中窃取本地的QICQ的帐号,然后当QICQ启动时,它会判断当前的窗口标题如果是“QQ用户登录”或是“OICQ用户登录”就将窃取用户输入的密码,并将密码和帐号保存在系统目录下的drocerr.sys文件中,同时备份到系统目录下的drocerrbk.sys文件中。
⑦查找最近打开过的文件,如果是以下类型(bmp,rtf,doc,txt,gif,jpeg,jpg)并且小于80k,就将此文件捆绑在自己后面,形成一个exe作为附件发送给别人。这样收信人会以为收到了一个无害的文件,一但在Outlook EXPress或者windows中预览了这个邮件,会立刻感染这个蠕虫。
⑧信件的主题为以下之一:
想念你的模样
想我的小宝贝了
快乐
给我永恒的爱人
我爱你
想念
我在等着你
吻你
你是我的女主角
爱,有时候真的不能去比较的
哎
Fw:姐姐的照片
记得收好我的照片呀!
xue
您的朋友
张
给您寄来贺卡
信件的内容为各种情书。
⑨此蠕虫会泄漏用户的oicq帐号和密码,此外,向外传播时会将用户的文档传送出去,也会造成泄密。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
木马加蠕虫病毒Worm.Gop.3,依赖系统Windows 9x/2000,驻留运行。
发现日期:
2001-12-13