|
|
| |
|
|
快讯:江民公布“网银大盗Ⅱ”技术分析报告
|
|
www.jiangmin.com
2004-6-4 10:17:29 作者: 信息出自:江民科技
|
|
| |
|
病毒名称:网银大盗Ⅱ(Trojan/KeyLog.Dingxa)
病毒类型:木马
病毒大小:16284字节
传播方式:网络
压缩方式:ASpack
2004年6月2日晚,江民反病毒中心又截获“网银大盗”新变种,该木马盗取几乎涵盖中国目前所有个人网上银行的帐号、密码、验证码等等,发送给病毒作者。此木马与4月分截获网银大盗(Trojan/PSW.HidWebmon)有异曲同工之处,但涉及银行之多,范围之广是历来最大的,不但给染毒用户造成的损失更大,更直接,也给各网上银行造成更大的安全威胁和信任危机。
具体技术特征如下:
1. 病毒盗取的相关银行11个; 目标网页21个; 目标帐户类型13种.
2. 病毒算机中创建以下文件:
%SystemDir%\svch0st.exe,16284字节,病毒本身
3. 在注册表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Runonce
中创建:
“svch0st.exe” = “%SystemDir%\svch0st.exe”
“taskmgr.exe” = “%SystemDir%\svch0st.exe”
4. 病毒运行后会每隔10毫秒查看用户是否在操作IE或Netscape浏览器,进而根据窗口标题判断用户是否在浏览上文列出的网上银行页面,一旦确认,病毒立即开始记录键盘敲击的每一个键值,记录键值包括:AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz1
!2@3#4$5%6^7&8*9(0)
{BackSpace}
{Tab}
{回车}
{Shift}
{Ctrl}
{Alt}
{Pause}
{Esc}
{空格}
{End}
{Home}
{Left}
{Right}
{Up}
{Down}
{Insert}
{Delete}
;:=+,<-_.>/?`~][{\|]}'
{Del}
{F1}
{F2}
{F3}
{F4}
{F5}
{F6}
{F7}
{F8}
{F9}
{F10}
{F11}
{F12}
{NumLock}
{ScrollLock}
{PrintScreen}
{PageUp}
{PageDown}
5. 病毒每隔1分钟检查是否已经成功盗取了用户信息,如果是,则通过GET方式把截取的用户按键提交给http://*****.com/****/get.asp。其格式如下:
http://*****.com/****/get.asp?txt=<银行帐户类型>:<截获的按键>
银行帐户类型共有13种。
针对该病毒,江民公司已经在第一时间升级。请您立即升级到6月3日病毒库,打开江民杀毒软件的隐私保护,即可全面防杀该病毒,保护您个人网上银行帐号和密码的安全。详细情况请访问江民网站:http://www.jiangmin.com 。
|
|
| |
|
|
|
|
| |
|
| |
|
| |
|
| |
|
| |
|
|
|
