假日聊天小心你的QQ密码-"QQ窃手"病毒档案
　 2001-12-17 10:54:11

　　
　　 人民网北京12月14日讯 Worm.Gop.3（QQ窃手）是近日出现的一种新型的蠕虫病毒，它以攻破聊天工具OICQ密码为目标，同时也会恶意泄漏用户的重要信息。此病毒蔓延速度极快，据瑞星全球病毒监测网报告，这是一种传播力极强的病毒，国内也已经发现病毒信息，所以广大用户应紧急采取预防措施，避免遭受损失。

　　 病毒危害等级：★★★

　　 Worm.Gop.3

　　 病毒名称：Worm.Gop.3 别名：QQ窃手

　　 病毒类型：蠕虫、木马

　　 病毒介绍：

　　 Worm.Gop.3（QQ窃手）病毒主要通过邮件形式传播，最具危害的是：它具有与尼姆达病毒类似的“预览信件即受感染”的能力，这样用户不用打开病毒邮件就已经遭受感染。它具有传染极快、结构复杂等特点，它所造成的危害主要就是泄漏用户ICQ（OICQ）密码，同时将用户在感染前处理的最后一个文件（近期文件，对用户来讲往往很重要）通过附件形式，通过邮件形式寄出，这样用户的很多隐私就有可能在不知不觉中泄露出去。

　　 发作时间：随机

　　 发作现象及解决方案：

　　 Worm.Gop.3（QQ窃手）自身捆绑了一个DLL文件，和一个随机的文档，当病毒运行后会在系统目录下释放出一个kernelsys32.exe，然后kernelsys32.exe将自动启动。（此病毒还会在临时目录下将自身带的WORD文件释放出来，并将此文件打开，借此来掩饰自己的行为。） Kernelsys32.exe会释放出一个IMKERNEL32.SYS的文件，并将IMKERNEL32.SYS注入其他的进程空间内，该文件注入进程空间内后就开始窃取本地的QICP的帐号和密码。然后当QICQ启动时，它会判断当前的窗口标题如果是“QQ用户登录”或是“OICQ用户登录”就将窃取用户输入的密码，并将密码和帐号保存在系统目录下的drocerr.sys文件中，同时备份到系统目录下的drocerrbk.sys文件中。

　　 病毒还会自动查找最近打开过的文件，如果文件是以下类型（bmp、rtf、doc、txt、gif、jpeg、jpg）并且小于80k，病毒就将此文件捆绑在自己后面，形成一个exe文件作为附件发送给别人。这样收信人会以为收到了一个无害的文件，一但在Outlook Express或者windows中预览了这个邮件，会立刻感染这个蠕虫。信件的主题为以下之一：

　　 想念你的模样

　　 想我的小宝贝了

　　 快乐

　　 给我永恒的爱人

　　 我爱你

　　 想念


　　 我在等着你

　　 吻你

　　 你是我的女主角

　　 爱,有时候真的不能去比较的

　　 哎

　　 Fw:姐姐的照片

　　 记得收好我的照片呀！

　　 xue

　　 您的朋友

　　 张

　　 给您寄来贺卡

　　 信件的内容为各种情书。这对于佳节将至的用户来讲，是很具蒙蔽性的，

　　 清除Worm.Gop.3（QQ窃手）病毒的方式是用杀毒软件将其全面杀除

　　 预防Worm.Gop.3（QQ窃手）的办法与多数蠕虫病毒的方法类似：就是不要打开上文提到的主题邮件，其次是警惕陌生邮件，为了避免受到病毒侵袭用户还应使用优秀的防火墙软件――如瑞星防火墙进行防堵预防，并尽快对杀毒软件进行升级。

　　 北京瑞星公司已率先将Worm.Gop.3（QQ窃手）病毒捕获并彻底查杀，同时会密切注意该病毒的变种趋势，将最新信息及时告知用户。瑞星建议用户尽快将手中的杀毒软件进行升级（瑞星杀毒软件最新版本号为：13.35.1），彻底清除该病毒，避免不必要的损失。瑞星杀毒软件最新版本（13.35.1）可彻底查杀Worm.Gop.3（QQ窃手）病毒。

　　 如果您还没有使用任何杀毒软件保护您的计算机，瑞星反病毒专家建议用户及早安装和使用优秀的反病毒软件，如瑞星等，并养成定期升级更新的习惯，同时注意时刻开启实时监控（防火墙）功能，严防病毒入侵。若收到不明来历的邮件，请谨慎点击。如有疑问：请随时登陆瑞星反病毒网或拨打800-810-6010全国免费服务电话，瑞星反病毒专家将为您提供全方位的技术支持与服务！