病毒名稱:網銀大盜Ⅱ(Trojan/KeyLog.Dingxa)
病毒類型:木馬
病毒大小:16284字節
傳播方式:網絡
壓縮方式:ASpack
2004年6月2日晚,江民反病毒中心又截獲"網銀大盜"新變種,該木馬盜取幾乎涵蓋中國目前所有個人網上銀行的帳號、密碼、驗證碼等等,發送給病毒作者。此木馬與4月分截獲網銀大盜(Trojan/PSW.HidWebmon)有異曲同工之處,但涉及銀行之多,范圍之廣是歷來最大的,不但給染毒用戶造成的損失更大,更直接,也給各網上銀行造成更大的安全威脅和信任危機。
具體技術特征如下:
1. 病毒運行后,盜取的網上銀行涉及:
銀聯支付網關-->執行支付
銀聯支付網關:
中國工商銀行新一代網上銀行
中國工商銀行網上銀行:
工商銀行網上支付:
申請牡丹信用卡
招商銀行個人銀行
招商銀行一網通:
個人網上銀行
中國建設銀行網上銀行
登陸個人網上銀行;;
中國建設銀行
中國建設銀行網上銀行:
交通銀行網上銀行
交通銀行網上銀行:
深圳發展銀行帳戶查詢系統
深圳發展銀行|個人銀行
深圳發展銀行 | 個人用戶申請表
深圳發展銀行:
民生網個人普通版
民生銀行:
網上銀行--個人普通業務
華夏銀行:
上海銀行企業網上銀行
上海銀行:
首都電子商城商戶管理平臺
首都電子商城商戶管理:
中國在線支付網: :IPAY網上支付中心
中國在線支付網商戶:
招商銀行網上支付中心
招商銀行網上支付:
個人網上銀行-網上支付
2. 病毒算機中創建以下文件:
%SystemDir%\svch0st.exe,16284字節,病毒本身
2. 在注冊表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run中創建:
"svch0st.exe" = "%SystemDir%\svch0st.exe"
"taskmgr.exe" = "%SystemDir%\svch0st.exe"
3. 病毒運行后會根據IE窗口標題欄判斷是否為網上銀行頁面,如果發現上述提到的銀行后,病毒立即開始記錄鍵盤敲擊的每一個鍵值,記錄鍵值包括:
AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz1
!2@3#4$5%6^7&8*9(0)
{BackSpace}
{Tab}
{回車}
{Shift}
{Ctrl}
{Alt}
{Pause}
{Esc}
{空格}
{End}
{Home}
{Left}
{Right}
{Up}
{Down}
{Insert}
{Delete}
;:=+,<-_.>/?`~][{\|]}'
{Del}
{F1}
{F2}
{F3}
{F4}
{F5}
{F6}
{F7}
{F8}
{F9}
{F10}
{F11}
{F12}
{NumLock}
{ScrollLock}
{PrintScreen}
{PageUp}
{PageDown}
4. 病毒截取到鍵盤值后,會形成信息發到指定http://*****.com/****/get.asp。其信息如下:
http://*****.com/****/get.asp?txt=××銀行:<截獲的按鍵>
5.病毒開啟3個定時器,每隔幾秒鐘搜索用戶的IE窗口,如果發現用戶正在使用上述銀行的"個人網上銀行"的登陸界面,則嘗試記錄用戶鍵入的所有鍵值,然后把竊取到的信息通過get方式發送到指定的服務器。
針對該病毒,江民公司已經在第一時間升級。請您立即升級到6月3日病毒庫,打開江民殺毒軟件的隱私保護,即可全面防殺該病毒,保護您個人網上銀行帳號和密碼的安全。
