最近发现一奇怪而又频繁的现象。就是当你一上OICQ就会收到腾讯发过来的系统消息，说最近OICQ密码遗忘（其实谁会忘记密码，还不是因为被黑！！呵呵！）、被盗现象严重，要你赶快去申请密码保护，http://www.tencent.com/service/……哈哈，其实啊，这都是GOP惹的祸，究竟是怎么回事呢？

　　GOP木马与其它木马不一样，它有一个很大的特色，就是没有客户端，也就是说，黑客不用千辛万苦地到你的机器上捣鼓就能轻而易举地得到你的OICQ号及密码，哇，是不是真的，这似乎太恐怖了吧！！如果你的OICQ还没有受到攻击的话，赶快看看下文吧！

让我们一步一步来：

一、剖析GOP木马的使用设置

　　常言道“知己知彼，百战不殆”，要防范GOP的攻击，首先就要了解它的运作机理。

　　最新版的GOP 1.2下载解压缩之后是3个可执行文件（.EXE)加一个说明文档，还有一个附带的图标。

　　其中gop.exe是服务端，EditGOP.exe是服务端编辑器（如图ecitgop)

GOPSlit.exe是个整理发送记录的工具。EditGOP的配置分为四个部分。

　　1.一般设置

　　复制到定义目录：下拉菜单中可以选择目录、目录、目录和源目录四种之一。这就是木马的藏身之地。如果是在目录下，你还不可以直接删除!

　　运行后删除源文件：一般不要选上。（谁不知道运行后莫名其妙就消失的东东是木马！）

　　服务文件名（.EXE)/钩子文件名(.DLL)：默认为sysexhook.exe/gHookDll.dll，位置为定义目录下（上文所说四种目录之一），但这两个文件名可以随意更改!

　　定义注册表键名：木马一旦被运行过，就会在注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键之下添加木马的键(默认值为WindowsAgent,当然你也可以改的)，以便今后每次开机时木马都能够自动运行。

　　当记录数超过××个时开始清理：当GOP记录文件中的记录数达到这个××值的时候自动对记录进行清理（黑客真是坐享其成哦）。

　　2.邮件设置

　　SMTP：设置邮件发送服务器。知道这是干什么用的吗？当你上网的时候，GOP木马就会通过这个邮件服务器把你的OICQ密码发送到黑客的邮箱里面，还可以进行当场测试！（哦，怪不得没有客户端呢）。

　　发送邮箱：这是黑客用来发送邮件的信箱帐号。国内的免费信箱的提供商大都对SMTP服务器进行了限制，所以需要设置一个合法的邮件账号来发送信件。

　　接收信箱：接收GOP木马发送的OICQ号和密码记录文档的信箱，受害者密码的最终目的地。格式：OICQ: [OICQ号] || PASSWORD: [OICQ密码]

　　主题标识：黑客收到OICQ号和密码记录文档的主题。格式：[主题标识]-[服务端计算机的名]-GOPv1.2 by boomslang。这里可以区分从各地发过来的记录。

　　检查间隔（秒）：设定GOP检查记录文档的时间间隔。如果检查时记录已经更新并且在线，就马上发送记录。 还可以设置邮件优先级（低、中、高），很像正规邮件嘛！

3.欺骗窗口

　　这里你可千万要注意！当你运行GOP木马（文件名不一定是GOP，所以千万要警慎！）的时候弹出一个欺骗窗口。比方说，定义一个标题为“警告”，内容为“内存不足！”，图标为“叹号”的欺骗窗口。这样在别人第一次运行这个木马的时候就会弹出定义的那个窗口，于是在神不知鬼不觉之中木马已经被植入电脑了。还可以设置其它的弹出窗口。

　　4.文件捆绑

　　该木马自带文件捆绑工具，真是很恐怖。以下是它的重要选项：

　　宿主文件：黑客可以在网上随便找一个小动画或者小程序，把它作为“寄生”的目标。所以你最好不要到不知名的网站下载东东，可能这就是一个陷阱哦！

　　文件图标：如果黑客找一个和系统工具一样的图标（16色图标文件），一般的人是不敢删除的。这样，及时知道有木马也无法及时清除。想得真是周到！

　　gop.exe：这就是GOP木马！需要GOPEdit编辑，具体过程就是上文所说的。文件可以任意更名，所以当你收到陌生人的邮件（带有可执行附件），千万不要打开啊！

　　GOPSplit.exe:好像没什么大用，因为在GOPEdit.exe里可清理。

　　（好了，有了GOP木马，大家就可以放心的去偷别人的OICQ密码了，可千万别说是我告诉你的哦！（哈哈，开个玩笑！）

　　下面开始讲如何对付这个木马。

二、GOP木马的检查

　　该木马运行的时候在Windows的任务窗口中是看不到的（费话！要是能看得到，还会有这样多人“遣忘”密码吗？）你可以点任务条上的“开始”、“运行”、“msinfo32”（就是Windows自带的系统信息，在“附件”中）。看其中的软件环境→正在运行的任务。这才是Windows现在全部运行的任务。当你在运行了什么东西之后觉得有问题的时候就看看这里。如果有一个项目有程序名和路径，而没有版本、厂商和说明，你就应该紧张一下了。GOP木马在这里显示的版本为：“不能用”。如果你发现GOP木马，先关掉你的猫（断网），然后脱机重新登录一次你的OICQ，查找电脑中是否有record.dat文件（每个盘都应该查一下！绝不放过！）（这是GOP记录OICQ密码的文档，如果你的OICQ密码被监控到了就一定会有。当然，即使你中了木马，在你还没有用OICQ的时候是不会有这个文件的。反正现在不在网上，不用担心密码被发走）。如果有的话，那么“恭喜”你了，100%中了木马。不信？用记事本打开那个record.dat，看看有没有你的宝贝OICQ的号码和密码。

　　你还可以运行系统配置实用程序（开始―运行―msconfig)，在启动栏里，你亦可发现“WindowsAgent”（就是上文提到的“定义注册表键名”,可能会是其它键名）。

　　三、木马的清除

　　庆幸的是，至今为止绝大部分的木马都是在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键下添加一个键值来让木马自动运行，该木马也不例外。运行regedit，进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键，记住那个在系统信息中查到的那个文件，也可在msconfig―启动―名称里找到（在“剖析木马的设置”中，我们知道木马文件名是可以任意定制的，所以无法确定具体的文件名）的存放路径，删除该键值。然后关闭计算机，稍候一下启动计算机（注意：不要选重新启动）。然后进入文件的存放路径删除木马文件即可。

　　最好的办法是自己也下载一个GOP，然后用EditGOP打开木马文件，会知道和木马关联的文件位置，然后删除。如果是删除的文件是系统本身就有的，还需要再拷贝一个正确的回来。最重要的一点是打开木马之后可以知道黑客的E-mail地址了（如果不清楚，请参看上面“剖析木马的设置”）。知道这个东东有什么用就看你自己的了。反正腾讯公司说偷窃别人的OICQ是违法的行为。

　　因为OICQ是腾讯人发明的，所以，腾讯人也采取了措施，在腾讯公司的主页―最新下载―防木马软件―有一个专门清除GOP木马的软件KILLGOP。

运行后扫描就行了，如果清除失败的话可再扫描一遍。如果你是个电脑新手而又是QQ高手的话，赶紧去下载一个，看看你是否中了GOP木马！