近日,金山反病毒应急处理中心又截获一例可以窃取QQ密码的恶意蠕虫病毒Trojan.GOP19.59392,该病毒此前已经有多个版本,金山毒霸均能处理。但以前版本不具有蠕虫的特性,需要恶意者手动发送邮件,因而危害程度不是很高。而这个版本的版本号为1.96.3,已经具备了蠕虫的特性,可以自动发送邮件,并且吸取了近期蠕虫病毒的特点,使用户预览邮件时就会被自动运行。
病毒一旦运行,便会在windows的system目录中生成kernelsys32.exe和IMEKernel32.sys,后者是一个DLL格式的文件,用来窃取QQ密码。OICQ启动时,它会判断当前窗口标题,如果窗口标题是“QQ用户登录”或“OICQ用户登录”,此病毒就会窃取用户输入的信息(用户名及密码),并将它们保存在系统目录下的drocerr.sys和drocerrbk.sys文件中。
另外,此病毒在传染时还会搜索用户本地的bmp、rtf、doc、txt、gif、jpeg、jpg文件,当文件小于80k时,就会将kernelsys32.exe和用户文件捆绑在一起,并通过邮件以附件的形式发送给其它用户。收到邮件的用户打开附件时,病毒就会被执行,同时它将捆绑的文件释放到临时目录,并打开它以伪装自己。
病毒发送邮件时会随机的以一些语句作为主题,这些语句包括:
想念你的模样
想我的小宝贝了
快乐
给我永恒的爱人
我爱你
想念
我在等着你
吻你你是我的女主角
爱,有时候真的不能去比较的
哎
Fw:姐姐的照片
记得收好我的照片呀!
Xue
您的朋友 张 给您寄来贺卡
邮件的内容则为内容各异的情书,有14种内容。金山反病毒应急处理中心提醒用户,要小心您收到的邮件,千万别打开或预览含有上述主题的邮件。
|
