江民公布“网银大盗Ⅲ”病毒技术分析报告
|
> 病毒名称:网银大盗Ⅲ(TrojanSpy.Elelist) 病毒类型:木马 病毒大小:38400字节 传播方式:网络 2004年6月8日,江民反病毒中心率先截获 "网银大盗Ⅲ"木马病毒(TrojanSpy.Elelist)。该木马偷取英国巴克莱等若干国外银行网上银行的帐号和密码,通过电子邮件发送给病毒作者。 具体技术特征如下: 1. 病毒运行后,将在用户计算机中创建以下文件: %SystemDir%mssdk32.dll, 119字节, %SystemDir%mslib32.dll, 24576字节, %WinDir%systemuser32.exe, 38400字节,
2. 在注册表的 HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun下创建: "User Mansger " = "%WinDir%systemuser32.exe" 或修改 SOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell为: "Shell" = "Explorer.exe %WinDir%systemuser32.exe"
这样,病毒在系统启动时即可运行。 3. 病毒运行后调用mslib32.dll病毒模块,该模块负责设置消息挂钩,并对IE页面控件进行监视,一旦认定用户正在某些国外银行的网页上进行交互操作,就把各种IE控件的有关信息(包括用户名、密码输入框,各种选择框,ComboBox选择列表等)记录到%SystemDir%msvcdc.dll和%SystemDir%msvxdexe.dll两个文件中。 4. 病毒主程序每隔1秒检查%SystemDir%msvcdc.dll和%SystemDir%msvxdexe.dll是否存在,如果存在,就把这2个文件中的内容通过电子邮件发送给病毒作者11list@mail.ru。 针对该病毒,江民公司已经在第一时间升级。请您立即升级到6月8日病毒库,即可全面查杀该病毒,保护您个人网上银行帐号和密码的安全。(完) (编辑:555手机网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
