|
|
| |
|
|
江民发布“证券大盗”病毒技术分析报告
|
|
www.jiangmin.com
2004-12-2 9:33:42 作者: 信息出自:江民科技
|
|
| |
|
病毒类型:特洛依木马
病毒大小:201216字节
危害等级:★★★
2004年11月25日,江民反病毒中心截获Trojan/PSW.Soufan特洛依木马病毒。该木马可以盗 取多家证券交易系统的交易帐户和密码。
具体技术特征如下:
1.病毒运行后,将创建自身复本于:
%WinDir%\SYSTEM32.EXE, 201216字节
2.在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System"=%WinDir%\SYSTEM32.EXE
3.木马运行时寻找一些包含著名券商名称的窗口标题,如果发现就开始启动键盘钩子对用户登陆信息进行记录,包括用户名和密码。
4.在记录键盘信息的同时,通过屏幕快照将用户登陆时窗口画面保存为图片,存放于:
c:\Screen1.bmp
c:\Screen2.bmp
5.当记录指定次数后,将3,4中记录的信息和图片通过电子邮件发送到webmaster@****.com。
6.发送成功后,病毒进行自杀,将自身删除,但4中生成的.bmp图片并未被删除。
针对该病毒,江民公司已经紧急升级了病毒库。请您及时升级到11月25日病毒库,即可全面查杀该病毒,保护您的系统不受其侵害。
|
|
| |
|
|
|
|
| |
|
| |
|
| |
|
| |
|
| |
|
|
|
