新型蠕虫病毒Win32.PSW.Gop
Posted on 八月 16rd, 2007 由 admin
热门问答:
推荐阅读
| · n3230三个月使用及升级v40537.0ch感受 |
| 摘要: -->...... |
| · 富士发表3款xd-picture card的数码相机 |
| 摘要:论坛 “刚刚召开的中国互联网大会让我们这些做教育网站的人为之一震”北京中鸿智业有限公司总经理白云涛对记者说,“中国互联网的发展方向已确定,其实我们已在这个方向走了好几年了。”白云涛的意思是,他和他的公司从此搭上了顺风车,不再是逆水行舟了。 中国互联网大会提出,在经历了“挤水分”式调整的严酷洗礼之后,中国互联网公司应该切实把网络产业与传统产业有机结合起来,通过推出新形态的网络广告、实施信息内容及网络服务收费、提供手机短信服务和开拓在线...... |
正文
1月8日,冠群金辰技术专家通过检测发现一种名为“psw. gop”的蠕虫病毒,与以往病毒相同的是,该病毒利用了同nimda 和badtrans相同的安全漏洞 ,即针对microsoft outlook 或 outlook express,一旦邮件被打开,蠕虫就会在有漏洞的系统上被执行。同时它会直接连接到它自身的smtp服务器来加以传播。
据冠群金辰介绍,gop是一种通过电子邮件传播的密码窃取型蠕虫.,它通过搜索储存在用户计算机上(*.js *.htm *.html) 文件来发现邮件地址,并向这些邮件地址发送自身。蠕虫可以通过一个附加在用户计算机上有如下扩展名的文件来轻微的修改本身,如*.lnk、*.bmp、*.rtf、*.doc等。由此蠕虫将以一封有双重扩展名的附件到达,附件以.exe 结尾,蠕虫将在系统目录生成一个隐藏的副本并通过修改注册表键值来得以执行。
此外,蠕虫也会在“windows\system”目录和根目录生成一个名为“imekernel32.sys”的隐藏文件,并通过多种注册表键值来储存信息。
目前冠群金辰尚未收到有关用户受此病毒侵害并造成损失的信息,但安全专家提醒用户尽快到如下网址修补相关漏洞,并升级kill至31.40, kill安全胄甲至23.49.40查杀该蠕虫。
http://www.microsoft.com/technet/security/bulletin/ms01-020.asp
win32.psw.gop的特征:
gop是一种通过电子邮件传播的密码窃取型蠕虫.
蠕虫不会使用microsoft outlook ,但会直接连接到它自身的smtp服务器来加以传播。它通过搜索储存在用户计算机上(*.js *.htm *.html) 文件来发现邮件地址,并向这些邮件地址发送自身.
蠕虫可以通过附加一个在用户计算机上有如下扩展名的文件来轻微的修改本身:
*.lnk
*.bmp
*.rtf
*.doc
*.txt
*.gif
*.jpeg
*.jpg
这样蠕虫将以一封有双重扩展名的附件到达,附件以.exe 结尾(例如- mydocumentfile.doc.exe).
蠕虫将在系统目录生成一个隐藏的副本并通过修改注册表键值来得以执行自身:
hklm\software\microsoft\windows\currentversion\run\imekernel32
键值为
“%system%\kernelsys32.exe”
蠕虫也会在“windows\system”目录和根目录生成一个名为“imekernel32.sys”的隐藏文件。
蠕虫使用如下注册表键值来储存信息.
hklm\software\microsoft\lastwritetimehigh
hklm\software\microsoft\lastwritetimelow
gop利用了同nimda 和badtrans相同安全漏洞 t
一旦邮件被打开,蠕虫就会在有漏洞的系统上被执行(针对microsoft outlook 或 outlook express)。
关于这个漏洞的详尽信息和相关补丁,请参见如下网址
http://www.microsoft.com/technet/security/bulletin/ms01-020.asp
win32.psw.gop的检测和清除
请升级kill it至31.40,kill安全胄甲至23.49.40查杀该蠕虫。
讨论区