§ 概述

病毒别名：TrojanSpy.Win32.Banker.df【AVP】，Win32.Troj.happyear.a【RS】

处理时间：

威胁级别：★★

中文名称：网银大盗IV

病毒类型：木马

影响系统：Win9x / WinNT

病毒行为:

该病毒通过Email传播。当用户收到具有如下特征的邮件就需要注意了：

发信人：伪造

标题：快来看看我的偷拍作品

正文：

朋友:

你好!

我是某五星级酒店的经理,同时我也是一名专拍社会丑恶现象的偷拍爱好者,近年来

...

该病毒以上面的文字诱导用户打开带毒附件。如果用户打开了该附件，则病毒被执行，它窃取用户的网上银行账号密码并发送给病毒作者，给用户带来巨大的经济损失。

§ 系统行为

1.在注册表主键"HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"下，

添加如下键值："TaskBellExe"="C:\\WINNT\\system32\\Rund1132.exe"

2.在注册表主键"HKCU\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows"下，

添加如下键值："Run"="C:\\WINNT\\system32\\Rund1132.exe"

3.在"%SYSTEM%"目录下，添加如下文件："Exp1orer.EXE"

4.在"%SYSTEM%"目录下，添加如下文件："Rund1132.exe"

5.在"%SYSTEM%"目录下，添加如下文件："Rundl132.exe"

6.在"C:\\Program Files\\Internet Explorer\\Iexplore.exe.hid"目录下，添加如下文件："IEXPLORE.EXE.hid"

7.该病毒会修改以下文件类型的关联:

.txt .exe .com .bat .pif

8.通过查找窗口标题栏是否有:"银行","bank","BANK"等字符串定位目标.

9.盗取使用某银行个人版网上业务的用户账号

10.尝试下载以下文件:

http://chinaweb.a184.zgsj.com/soft/search.txt

http://chinaweb.a184.zgsj.com/soft/mswinsck.txt

http://chinaweb.a184.zgsj.com/news.txt

http://chinaweb.a184.zgsj.com/soft/sendmail.txt

11.下载成功则用下载的模块搜索用户计算机中的电子邮件地址,并发送病毒邮件

但邮件地址包含以下字符串的邮件地址则不发送:

MICROSOFT

rising

jiangmin

kingsoft

symantec

Norton

该病毒邮件如下:

发信人：伪造

标题：快来看看我的偷拍作品

正文：

朋友:

你好!

我是某五星级酒店的经理,同时我也是一名专拍社会丑恶现象的偷拍爱好者,近年来

我在酒店一些高档客房偷偷装上摄像头,偷拍了两百多部作品,里面既有夫妻新婚之夜的

夫妻生活片段;也有演艺圈内一些演员为讨好名导演发生的性交易实录;甚至还有一些富

豪花高价购买中学女生们初夜权,更为可耻的是居然还是在白天和年仅十五、六岁发育

不太成熟的中学小女生发生性关系,因此其丑恶行径拍得更清楚不过了,这些富豪们退房

后本人还在其房间拍到了床单上其与中学女生发生性关系留下的鲜红的血迹.为了揭露

社会的这些丑恶现象,让这些人接受社会的谴责,本人特开办"中国丑恶现象偷伯网",将

本人偷拍到的这些社会丑恶方面的作品公开,希望能得到网友们的支持,如果你也有关于

这方面的作品,也可以在本人的网站上发布.

"中国丑恶现象偷拍网"网址:http://chinaweb.a184.zgsj.com/index.htm,欢迎访

问,希望能得到大家的支持,本网站系公益性网站,无任何广告,偷拍影片全部采用asx格

式压缩,如果您的系统没有安装解码器,可以在本站在线安装或下载安装即可观赏本人的

作品.

中国丑恶现象偷伯网

• 中国鼓文化
• 中国（苏州）昆剧艺术节
• 中国，我的钥匙丢了
• 中国１２０毫米自行迫榴炮
• 中囿
• 中國的風景
• 中土
• 中地数码
• 中场控制流
• 中坛
• 中坜事件
• 中坝玉
• 中垂
• 中垂线
• 中型坦克
• 中型星
• 中型登陆舰
• 中型白蚁伞
• 中垌
• 中垢
• 中域
• 中堂
• 中堂镇
• 中堡站
• 中境