Win32.PSW.Gop

　　Gop是一种通过电子邮件传播的密码窃取型蠕虫.
蠕虫不会使用Microsoft Outlook ，但会直接连接到它自身的SMTP服务器来加以传播。它通过搜索储存在用户计算机上(*.js *.htm *.html) 文件来发现邮件地址，并向这些邮件地址发送自身.

　　蠕虫可以通过附加一个在用户计算机上有如下扩展名的文件来轻微的修改本身:
*.lnk
*.bmp
*.rtf
*.doc
*.txt
*.gif
*.jpeg
*.jpg

　　这样蠕虫将以一封有双重扩展名的附件到达，附件以.exe 结尾（例如- mydocumentfile.doc.exe).

　　蠕虫将在系统目录生成一个隐藏的副本并通过修改注册表键值来得以执行自身:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\IMEKernel32
键值为
"%System%\kernelsys32.exe"

　　蠕虫也会在"Windows\System"目录和根目录生成一个名为"IMEKernel32.sys"的隐藏文件。

　　蠕虫使用如下注册表键值来储存信息.

HKLM\Software\Microsoft\LastWriteTimeHigh
HKLM\Software\Microsoft\LastWriteTimeLow

　　Gop利用了同Nimda 和Badtrans相同安全漏洞 t

　　一旦邮件被打开，蠕虫就会在有漏洞的系统上被执行（针对Microsoft Outlook 或 Outlook Express)。

　　关于这个漏洞的详尽信息和相关补丁，请参见如下网址
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
 
　　Win32.PSW.Gop的检测和清除

　　请升级kill IT至31.40,kill安全胄甲至23.49.40查杀该蠕虫.