11月30日上午,江民快速反病毒小组最新监测一种名为WORM/GOP.F的蠕虫病毒,该病毒专门窃取用户OICQ密码。病毒大小为378,880 字节,易感染的有效系统为 WIN95/98/98SE/ME/2000/XP。
反病毒专家介绍,该病毒通过邮件和网络共享传播。病毒运行时,在系统文件下生成下面的文件,
%system%windll.exe
%system%photo.gif.exe
%system%notepads.exe
C:Program FilesTencentQQ2000b.exe
C:QQ2002.exe
同时,在桌面上创建一个快捷方式,OICQ.lnk,快捷方式指向一个蠕虫的拷贝文件,然后创建注册表的入口:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,
WinIme = %system%windll.exe
当病毒通过邮件传播时,会把自己作为邮件附件发送给被感染系统MS Outlook的所有联系人,是用下面的smtp服务器:
smtp.163.net
stmp.263.net
smtp.sohu.com
smtp.163.com
smtp.china.com
smtp.sina.com
邮件的特征为:邮件主题:<中文字符>,邮件正文:<中文字符>,附件:photo.gif.exe。
当蠕虫通过网络共享传播时,如被执行,它会搜索所有共享磁盘中可以读写的文件夹,只要找到一个,蠕虫就把自己拷贝到磁盘的文件夹中,用文件名QQ2002.exe。
蠕虫将偷取OICQ的登录信息,包括被感染系统的用户名和密码,发送到病毒作者的邮箱。
蠕虫创建一个从它自己的拷贝修改过来的文件NOTEPADS.EXE,然后修改注册表,从HKEY_CLASSES_ROOTtxtfileshellopencommand (Default) = %Windows%NOTEPAD.EXE %1 改为
HKEY_CLASSES_ROOTtxtfileshellopencommand (Default) = %System%notepads.exe %1 ,结果是每次打开一个.TXT文件的时候,都会自动运行蠕虫程序。
已感染的用户,具体清除方法如下:
1.更新KV3000杀毒王病毒库,全面扫描系统,把检测到感染WORM/GOP.F的文件全部删除;
2.按CTR+ALT+DEL键打开windows任务管理器,从中选择蠕虫进程,然后点击[结束任务]或[结束进程];
3.打开注册表,删除键值:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run,
WinIme = %system%windll.exe
定位到HKEY_CLASSES_ROOT>txtfile>shell>open>command,修改它的默认值成:
%Windows%NOTEPAD.EXE %*
