腾讯 OICQ 木马病毒整体安全功略

　　其中gop.exe是服务端，EditGOP.exe是服务端编辑器(如图)GOPSlit.exe是个整理发送记录的工 具。EditGOP的配置分为四个部分。

　　1.一般设置

　　复制到定义目录：下拉菜单中可以选择目录、目录、目录和源目录四种之一。这就是木马的藏身 之地。如果是在目录下，你还不可以直接删除!

　　运行后删除源文件：一般不要选上。(谁不知道运行后莫名其妙就消失的东东是木马！)

　　服务文件名(.EXE)/钩子文件名(.DLL)：默认为sysexhook.exe/gHookDll.dll，位置为定义目录下 (上文所说四种目录之一)，但这两个文件名可以随意更改!

　　定义注册表键名：木马一旦被运行过，就会在注册表中 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主键之下添加木马的键(默认值为 WindowsAgent,当然你也可以改的)，以便今后每次开机时木马都能够自动运行。

　　当记录数超过××个时开始清理：当GOP记录文件中的记录数达到这个××值的时候自动对记录进 行清理(黑客真是坐享其成哦)。

　　2.邮件设置

　　SMTP：设置邮件发送服务器。知道这是干什么用的吗？当你上网的时候，GOP木马就会通过这个邮 [iduba_page] 件服务器把你的OICQ密码发送到黑客的邮箱里面，还可以进行当场测试！(哦，怪不得没有客户端呢)。

　　发送邮箱：这是黑客用来发送邮件的信箱帐号。国内的免费信箱的提供商大都对SMTP服务器进行 了限制，所以需要设置一个合法的邮件账号来发送信件。

　　接收信箱：接收GOP木马发送的OICQ号和密码记录文档的信箱，受害者密码的最终目的地。格式： OICQ: [OICQ号] || PASSWORD: [OICQ密码]

　　主题标识：黑客收到OICQ号和密码记录文档的主题。格式：[主题标识]-[服务端计算机的名 ]-GOPv1.2 by boomslang。这里可以区分从各地发过来的记录。

　　检查间隔(秒)：设定GOP检查记录文档的时间间隔。如果检查时记录已经更新并且在线，就马上发 送记录。还可以设置邮件优先级(低、中、高)，很像正规邮件嘛！

　　3.欺骗窗口

　　这里你可千万要注意！当你运行GOP木马(文件名不一定是GOP，所以千万要警慎！)的时候弹出一 个欺骗窗口。比方说，定义一个标题为“警告”，内容为“内存不足！”，图标为“叹号”的欺骗窗口。这样 在别人第一次运行这个木马的时候就会弹出定义的那个窗口，于是在神不知鬼不觉之中木马已经被植入电脑了 。还可以设置其它的弹出窗口(如图)

　　这就是你运行GOP木马所弹出来的窗口！

　　4.文件捆绑

　　该木马自带文件捆绑工具，真是很恐怖。以下是它的重要选项：

　　宿主文件：黑客可以在网上随便找一个小动画或者小程序，把它作为“寄生”的目标。所以你最好不要到不知名的网站下载东东，可能这就是一个陷阱哦！