日前，各反病毒廠商又截獲一個通過QQ聊天工具進行傳播的病毒，金山反病毒應急處理中心將這一新的病毒命名為Trojan.GOP病毒。這是繼可通過ICQ傳播的“Goner將死者病毒”和通過mIRC聊天工具傳播的“Gokar”病毒之後出現的第三個將即時聊天工具作為主要攻擊目標大規模傳播的病毒。

    金山公司反病毒專家陳飛舟警告説，隨著聊天工具的日益普及，聊天工具已經成為駭客的主流攻擊手段和攻擊目標。很多駭客都盯上了這個通道，利用聊天工具的安全漏洞發起攻擊。現在很多網路即時聊天攻擊的安全性都比較低，不需要很“黑”的駭客就能攻破，陳飛舟提醒大家，在這種情況下，更要注重線上聊天時的安全問題。

    這一最新的Trojan.GOP病毒已經有多個版本，以前版本不具有蠕蟲的特性，需要惡意者手動發送郵件。最新的這個版本已經具備蠕蟲的特性，可以自動發送郵件，並且吸取了近期蠕蟲病毒的特點，使它在用戶預覽郵件時就會被運作。

    該病毒運作時，會在windows的system目錄生成kernelsys32.exe和IMEKernel32.sys，後者是一個DLL格式的文件，用來竊取QQ密碼。QICQ啟動時，它會判斷當前的窗口標題如果是“QQ用戶登錄”或是“OICQ用戶登錄”就將竊取用戶輸入的資訊(用戶名及密碼)，並將它們保存在系統目錄下的drocerr.sys和drocerrbk.sys文件中。

    病毒傳染時會搜索用戶本地的bmp、rtf、doc、txt、gif、jpeg、jpg文件，當文件小于80k時，就會將病毒蠕蟲和用戶文件捆綁在一起，並通過郵件附件的形式發送給其他用戶。收到郵件的用戶打開附件時，病毒就會被執行，同時它將捆綁的文件釋放到臨時目錄，並打開它以偽裝自己。

    病毒發送郵件時會隨機的一些語句作為主題：

    從以下語句選擇一個：

    想念你的模樣

    想我的小寶貝了

    快樂

    給我永恒的愛人

    我愛你

    想念

    我在等著你

    吻你你是我的女主角

    愛,有時候真的不能去比較的

    哎

    Fw:姐姐的照片

    記得收好我的照片呀！

    Xue

    您的朋友張給您寄來賀卡

    同時，陳飛舟表示，目前已經有越來越多的即時通訊提供商開始重視安全的問題了，反病毒廠商也應該注意到這樣一個新的安全領域，並且提出自己的解決方案。目前金山公司已經推出了針對即時聊天工具安全問題的“QQ、ICQ安全助手”，解決QQ和ICQ的安全漏洞問題，保護電腦用戶有一個安全的聊天環境。據悉“QQ安全助手”可以完全防範包括“Trojan.GOP病毒”和“Goner將死者病毒”在內的危害即時通訊工具的惡性病毒。

    新浪科技 2001年12月17日