木马浅析

(笔者认为该木马很厉害之处)可以选择是否在第一次运行GOP的时候弹出一个欺骗窗口。比方说，定义一个标题为“警告”，内容为“内存不足！”，图标为“叹 ”的欺骗窗口。这样在别人第一次运行这个木马的时候就会弹出定义的那个窗口，于是在神不知鬼不觉之中木马已经被植入电脑了。
4.文件捆绑
该木马自带文件捆绑工具，真是很恐怖。以下是它的重要选项：
宿主文件：黑客可以在 上随便找一个小动画或者小程序，把它作为“寄生”的目标。
文件图标：如果黑客找一个和系统工具一样的图标，一般的人是不敢删除的。这样，及时知道有木马也无法及时清除。
下面开始讲如何对付这个木马。因为它很新，不要随便打开别人发过来的东西。这是一种非常冒险的行为，这绝不是危言耸听！
二、木马的检查
该木马运行的时候在Windows的任务窗口中是看不到的。不要相信Windows的任务窗口–这是笔者的第二个忠告。
点任务条上的“开始”、“运行”、“msinfo32”(就是Windows自带的系统信息，在“附件”中)。看其中的软件环境→正在运行的任务。这才是Windows现在全部运行的任务。当你在运行了什么东西之后觉得有问题的时候就看看这里。如果有一个项目有程序名和路径，而没有版本、厂商和说明，你就应该紧张一下了。先关掉你的猫(断 )，然后脱机重新登录一次你的OICQ，查找电脑中是否有record.dat文件(这是GOP记录OICQ密码的文档，如果你的OICQ密码被监控到了就一定会有。当然，即使你中了木马，在你还没有用OICQ的时候是不会有这个文件的。反正现在不在 上，不用担心密码被发走)。如果有的话，那么“恭喜”你了，100%中了木马。不信记事本打开那个record.dat，看看有没有你的宝贝OICQ的 码和密码。
三、木马的清除
庆幸的是，至今为止绝大部分的木马都是在注册表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主键下添加一个键值来让木马自动运行，该木马也不例外。运行regedit，进入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主键，记住那个在系统信息中查到的那个文件(在“剖析木马的设置”中，我们知道木马文件名是可以任意定制的，所以无法确定具体的文件名)的存放路径，删除该键值。然后关闭计算机，稍候一下启动计算机(注意：不要选重新启动)。然后进入文件的存放路径删除木马文件即可。
最好的办法是自己也下载一个GOP，然后用gopedit打开木马文件，会知道和木马关联的文件位置，然后删除。如果是删除的文件是系统本身就有的，还需要再拷贝一个正确的回来。最重要的一点是打开木马之后可以知道黑客的E-mail地址了(如果不清楚，请参看上面“剖析木马的设置”)。