病毒名称:网银大盗Ⅱ(Trojan/KeyLog.Dingxa)病毒类型:木马病毒大小:16284字节传播方式:网络压缩方式:ASpack2004年6月2日晚,又截获“网银大盗”新变种,该木马盗取几乎涵盖中国目前所有个人网上银行的帐号、密码、验证码等等,发送给病毒作者。此木马与4月分截获网银大盗(Trojan/PSW.HidWebmon)有异曲同工之处,但涉及银行之多,范围之广是历来最大的,不但给染毒用户造成的损失更大,更直接,也给各网上银行造成更大的安全威胁和信任危机。具体技术特征如下:1. 病毒运行后,盗取的网上银行涉及:银联支付网关-->执行支付银联支付网关:中国工商银行新一代网上银行中国工商银行网上银行:工商银行网上支付:申请牡丹信用卡招商银行个人银行招商银行一网通:个人网上银行中国建设银行网上银行登陆个人网上银行;;中国建设银行中国建设银行网上银行:交通银行网上银行交通银行网上银行:深圳发展银行帐户查询系统深圳发展银行|个人银行深圳发展银行 | 个人用户申请表深圳发展银行:民生网个人普通版民生银行:网上银行--个人普通业务华夏银行:上海银行企业网上银行上海银行:首都电子商城商户管理平台首都电子商城商户管理:中国在线支付网: :IPAY网上支付中心中国在线支付网商户:招商银行网上支付中心招商银行网上支付:个人网上银行-网上支付2. 病毒算机中创建以下文件:%SystemDir%\svch0st.exe,16284字节,病毒本身
3. 在注册表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run中创建:“svch0st.exe” = “%SystemDir%\svch0st.exe” “taskmgr.exe” = “%SystemDir%\svch0st.exe”
4. 病毒运行后会根据IE窗口标题栏判断是否为网上银行页面,如果发现上述提到的银行后,病毒立即开始记录键盘敲击的每一个键值,记录键值包括:AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz1!2@3#4$5%6^7&8*9(0){BackSpace}{Tab}{回车}{Shift}{Ctrl}{Alt}{Pause}{Esc}{空格}{End}{Home}{Left}{Right}{Up}{Down}{Insert}{Delete};:=+,/?`~][{\|]}'{Del}{F1}{F2}{F3}{F4}{F5}{F6}{F7}{F8}{F9}{F10}{F11}{F12}{NumLock}{ScrollLock}{PrintScreen}{PageUp}{PageDown}5. 病毒截取到键盘值后,会形成信息发到指定http://*****.com/****/get.asp。其信息如下:http://*****.com/****/get.asp?txt=××银行:6.病毒开启3个定时器,每隔几秒钟搜索用户的IE窗口,如果发现用户正在使用上述银行的“个人网上银行”的登陆界面,则尝试记录用户键入的所有键值,然后把窃取到的信息通过get方式发送到指定的服务器
专题文集:股票网银 windows
引用标题:《专家疑为网银大盗所为 江民发布三大“网银大盗”病毒技术对比分析》
来源地址:https://www.xjanfang.cn/news/tpart-18677.html
