1月8日,冠群金辰技术专家通过检测发现一种名为“PSW. Gop”的蠕虫病毒,与以往病毒相同的是,该病毒利用了同Nimda 和Badtrans相同的安全漏洞 ,即针对Microsoft Outlook 或 Outlook Express,一旦邮件被打开,蠕虫就会在有漏洞的系统上被执行。同时它会直接连接到它自身的SMTP服务器来加以传播。
据冠群金辰介绍,Gop是一种通过电子邮件传播的密码窃取型蠕虫.,它通过搜索储存在用户计算机上(*.js *.htm *.html) 文件来发现邮件地址,并向这些邮件地址发送自身。蠕虫可以通过一个附加在用户计算机上有如下扩展名的文件来轻微的修改本身,如*.lnk、*.bmp、*.rtf、*.doc等。由此蠕虫将以一封有双重扩展名的附件到达,附件以.exe 结尾,蠕虫将在系统目录生成一个隐藏的副本并通过修改注册表键值来得以执行。
此外,蠕虫也会在“
Windows\System”目录和根目录生成一个名为“IMEKernel32.sys”的隐藏文件,并通过多种注册表键值来储存信息。
目前冠群金辰尚未收到有关用户受此病毒侵害并造成损失的信息,但安全专家提醒用户尽快到如下网址修补相关漏洞,并升级kill至31.40, kill安全胄甲至23.49.40查杀该蠕虫。
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Win32.PSW.Gop的特征:
Gop是一种通过电子邮件传播的密码窃取型蠕虫.
蠕虫不会使用Microsoft Outlook ,但会直接连接到它自身的SMTP服务器来加以传播。它通过搜索储存在用户计算机上(*.js *.htm *.html) 文件来发现邮件地址,并向这些邮件地址发送自身.
蠕虫可以通过附加一个在用户计算机上有如下扩展名的文件来轻微的修改本身:
*.lnk
*.bmp
*.rtf
*.doc
*.txt
*.gif
*.jpeg
*.jpg
这样蠕虫将以一封有双重扩展名的附件到达,附件以.exe 结尾(例如- mydocumentfile.doc.exe).
蠕虫将在系统目录生成一个隐藏的副本并通过修改注册表键值来得以执行自身:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\IMEKernel32
键值为
“%System%\kernelsys32.exe”
蠕虫也会在“Windows\System”目录和根目录生成一个名为“IMEKernel32.sys”的隐藏文件。
蠕虫使用如下注册表键值来储存信息.
HKLM\Software\Microsoft\LastWriteTimeHigh
HKLM\Software\Microsoft\LastWriteTimeLow
Gop利用了同Nimda 和Badtrans相同安全漏洞 t
一旦邮件被打开,蠕虫就会在有漏洞的系统上被执行(针对Microsoft Outlook 或 Outlook Express)。
关于这个漏洞的详尽信息和相关补丁,请参见如下网址
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Win32.PSW.Gop的检测和清除
请升级kill IT至31.40,kill安全胄甲至23.49.40查杀该蠕虫。
