木马GOP——盗QQ密码

大家好，又见面了，我是你们的朋友全栈君。　GOP是什么？GOP是Get OICQ Password的缩写，从这个名字我们就可以看出这是一个获取别人OICQ（现在应该称为QQ了）密码的 木马 软件！如果你还没有受到它的攻击，那可是幸运了，我认识它的过程可是代价惨重啊！

　　一天，我打开QQ，输入自己熟悉的密码后，静等着小企鹅的出现，谁知左等右等却等到了一个密码错误的提示窗口！再三确认自己的密码没有记错，当然也不会输错，那最大、最令人担心的可能就是自己的密码被盗用、更改！联想到前一阶段时间腾迅公司发来的提示密码保护的系统消息，联想到自己前一阶段收到的那些莫名其妙的E-Mail附件，就知道自己“幸运地中招”了……

　　那天像平时一样，一上网就收邮件。在收到的邮件中看见了一封比较奇怪的EMAIL，是人家转发来的，看了看邮件原始 信息 ，邮件地址是陌生的，文件是一个用FALSH做成的.EXE文件，于是我就打开看看！一打开，我的金山毒霸防火墙就报警了，一看，原来是一个叫Trojan.GOP19HookDll.61440的木马，它感染了我的C:WINNTsystem32下的IMEKernel32.sys文件，文件被感染后，每运行其它程序，防火墙就报警，真有点烦了，想不清除它看来是不行了。

　　在我记忆中，这木马好像是黑QQ号的木马，由是就来到了QQ的网站，在 最新 下载－＞防木马软件－＞下载了个KILLGOP的清GOP工具（心想，哈哈！这下你就不再烦我了吧）。

　　打开KILLGOP进行对该木马的清除工作，等了好几分钟，扫描完了，但是什么也扫不出来呀！心就想，难道这木马已经不适合用这工具来清除了？于是就把金山毒霸升级到了最新版，再杀一次，还是不行（我倒！到底是什么木马呀？）。

　　于是又下了大名顶顶的The Cleaner了（当天出的版本），又扫了十来分钟，还是没有扫描出木马来。

　　没办法了，看来这木马是国产木马，就用手工清除它吧，在注册表里找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 哈哈，果然在这里，发现了在启动时加载了一个陌生的程序 “C:winntsystem32 kernel32.exe”，于是把该项删除了。马上重启一下系统，重启后马上查找IMEKernel32.sys这个文件，找到后就删除了这个文件。后来再用金山毒霸扫描一次！木马没了！系统回复正常！

　　大家一定一定要警惕不明邮件呀，最近我已经收到多封这类EMAIL了，主题或内容都是一些很让人开心的话。 什么“我的相片”，“送你一个小礼物”，“打开看看，望你喜欢。”什么什么的……