荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]

发信人: xhjx (输了你,赢了世界又如何), 信区: Virus
标  题: GOP,来自QQ的恐惧
发信站: 荔园晨风BBS站 (Tue Jan  1 12:02:57 2002), 站内信件

   GOP是什么?GOP是Get OICQ Password的缩写,从这个名字我们就可以看出这
是一个获取别人OICQ(现在应该称为QQ了)密码的木马软件!如果你还没有受到它
的攻击,那可是幸运了,我认识它的过程可是代价惨重啊!

   一天,我打开QQ,输入自己熟悉的密码后,静等着小企鹅的出现,谁知左等
右等却等到了一个密码错误的提示窗口!再三确认自己的密码没有记错,当然也不
会输错,那最大、最令人担心的可能就是自己的密码被盗用、更改!联想到前一阶
段时间腾迅公司发来的提示密码保护的系统消息,联想到自己前一阶段收到的那些
莫名其妙的E-Mail附件,就知道自己“幸运地中招”了……

   清除木马

   没有办法,兵来将当、水来土掩,既然已经被黑,只有先搞定这个缺口再说
了。根据腾迅公司前一阶段的提示,最有可能的罪魁祸首即是前面提到的GOP木马
!于是我到腾迅公司的主页下载一个名叫KillGOP的软件(从名字就可以看出这是
一个专门清除GOP木马的软件了),文件的大小只有75KB,可别小看这75KB,它可
是由AV98的开发者丁凯编写的清除GOP木马的反病毒软件!

   该软件的使用可说非常简单。直接执行下载回来的KillGOP.exe,你会看到如
图1的操作窗口,

  你所需要做的就是在该窗口中选择“系统文件”(因为大多数GOP木马默认安
装在系统文件中)、“指定文件夹”,选择完成以后,点击“扫描”按钮,
KillGOP就会扫描指定位置的GOP木马,当KillGOP发现GOP木马以后,就会自动删除
这些罪魁祸首!

   知己知彼

   其实,要防范GOP的最好的方法就是先让我们了解GOP是如何运作的。我在网
上东翻西找,下载回来最新的1.2版本的GOP,解压缩之后我们可以看到3个可执行
文件和一个说明文档,还有一个附带的图标文件。其中gop.exe是服务端(也就是
木马的主程序),EditGOP.exe是服务端编辑器,GOPSlit.exe是个整理发送记录的
工具。

   一般用GOP木马的人,首先都会用EditGOP.exe对服务器端进行编辑,以便获
得的密码能发送到自己的信箱中,接着就用可能的方法欺骗你来运行GOP.exe木马
程序,再将结果进行整理。所以,这个程序最主要的设置部分不在简单运行的
GOP.exe木马本身,而是在如图2的EditGOP主窗口,

  从这个窗口中,我们可以看到EditGOP的配置分为四个部分,分别为“一般设
置”、“邮件设置”、“文件绑定”、“欺骗窗口”。下面,我们将从这四个部分
来了解EditGOP的设置。

   1.一般设置

   复制到定义目录:下拉菜单进行选择,这就是木马的藏身之地;

   运行后删除源文件:笔者建议不要勾选,因为一般运行以后莫名其妙消失的
东西,大多数人都会认为是木马程序;

   服务文件名(.EXE)/钩子文件名(.DLL):默认为sysexhook.exe/gHookDll.
dll,位置为定义目录下设置的四种目录之一,但这两个文件名可以随意更改,笔
者建议也不要更改;

   定义注册表键名:木马一旦被运行过,就会在注册表中
HKEY_LOCAL_MACHINESoftware MicrosoftWindowsCurrentVersionRun主键之下添加
木马的键(默认值为WindowsAgent),以便今后每次开机时木马都能够自动运行;


   当记录数超过××个时开始清理:当GOP记录文件中的记录数达到这个××值
的时候自动对记录进行清理。

   2.邮件设置

   SMTP:设置邮件发送服务器;

   发送邮箱:这是黑客用来发送邮件的信箱帐号(国内的免费信箱的提供商大
都对SMTP服务器进行了限制,所以需要设置一个合法的邮件账号来发送信件);


   接收信箱:接收GOP木马发送的OICQ号和密码记录文档的信箱,也就是黑客自
己的信箱;

   主题标识:黑客收到OICQ号和密码记录文档的主题;

   检查间隔:设定GOP检查记录文档的时间间隔,同时设定邮件发送优先级别;


   3.文件捆绑

   文件绑定是现在的木马程序最恐怖的地方,它可以将木马程序捆绑到任何你
经常要执行的文件中,这样可以让你防不胜防!而现在的GOP更恐怖,它竟然自带
了文件捆绑工具!

   宿主文件:黑客可以在网上随便找一个小动画或者小程序,把它作为“寄生
”的目标,也就是将GOP捆绑到一个小动画当中;

   文件图标:这一点更恐怖,它可以让GOP捆绑以后的程序伪装成其它的程序,
例如一个Windows系统图标,这样,你敢随意删除么?

   4.欺骗窗口

   所谓欺骗窗口,就是给运行木马程序的人一个小小的欺骗了!当你点击了一
个应用程序,而在窗口中没有任何反应,你会怎么想?我想肯定是马上查毒!所以
说,GOP的开发者也想到了这一点,他让你可以编辑一个欺骗窗口,以免让用户非
常明显地发现中毒了。例如,你可以编辑一个“内存不足”的警告窗口——我想可
能没有人会认为这个提示后边隐藏的会是可怕的木马程序吧!看看如图3就是我编
辑的欺骗窗口——当然,这个窗口肯定欺骗不了任何人:)。

   防患未然

   从以上GOP木马的运行和作祟方式可以看出,GOP在运行的时候不会出现在
Windows任务窗口,不过发现它也很简单,在“我的电脑”上单击鼠标右键,在弹
出的菜单中选择“搜索”命令,搜索一个名叫record.dat的文件,如果搜索到了该
文件,那可要“恭喜”你了,你肯定也和我一样,被黑了!剩下的方法就是赶快到
腾迅的主页申请密码保护,同时更改你的QQ密码,再对GOP木马进行查杀!什么,
你不信有了这个record.dat文件就代表你被黑了?那么用记事本打开该文件,你会
看到一个格式为“OICQ: [XXXXXXXX] || PASSWORD: [XXXXXX]”的文本,是不是你
的QQ号码和密码?

   现在了解了GOP,所以我们可以看出,除了前面腾迅公司为我们提供的
KillGOP工具以外,还有另外的解决GOP的方法。因为大多数的木马都是在注册表的
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun主键下添加一
个键值来让木马自动运行,GOP自然也不例外!解决的方法就是利用注册表编辑器
regedit,进入HKEY_LOCAL_ MACHINESoftwareMicrosoftWindows
CurrentVersionRun主键,删除GOP木马的主键(当然,主键名称一般为
WindowsAgent),重新启动计算机就可以了。

   中国有句古语说的好,解铃还需系铃人!所以最好的办法是自己也下载一个
GOP,然后用EditGOP打开木马文件,你就会知道和木马关联的文件位置,然后删除
。当然,如果删除的是系统文件,最好还是拷贝一个正确的系统文件回来,另外,
最有意思的是你还可以知道这个黑客的E-mail地址,发一封“客气”的Mail给他,
不知道他会有什么感想^_^。


--
   OICQ:28174835                ┏┷┓                          ┏┷┓
              ┏┷┓  ─────┨1┠┏┷┓    ●  ○    ┏┷┓┫L┠──
  ┏┷┓      ┨0┠┏┷┓      ┗┯┛┨4┠─ /■\/▲\ ─┨I┠┗┯┛
─┨5┠┏┷┓┗┯┛┨1┠┏┷┓      ┗┯┛    /\  /\    ┗┯┛  ┏┷┓
  ┗┯┛┨2┠─    ┗┯┛┨3┠──                            ─┨U┠
        ┗┯┛            ┗┯┛                                  ┗┯┛

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]

[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店