| 词条 | 新网银大盗 |
| 释义 | § 名称 病毒名称:Trojan/PSW.VShell.a 中文名称:新网银大盗 病毒类型:木马 病毒大小:94208字节 传播方式:网络危害程度:★★★ 2005年7月10日,江民反病毒中心再次截获一个网银木马(Trojan/PSW.VShell.a)。该病毒将于2005年8月1日起发作,记录用户键盘输入,盗取工行个人网上银行的帐号密码,通过网页脚本把获得的非法信息提交给病毒作者。 § 特征 病毒具体技术特征如下: 1. 病毒运行后,创建下列文件: %SystemDir%\\kv2005.dll,60928字节,病毒主功能模块 %SystemDir%\\kvshell2005.dll,24576字节,病毒启动模块 2. 和一般的向注册表启动项中添加键值的方法不同,该病毒用regsvr32.exe注册kvshell2005.dll为BHO插件,这样kvshell2005.dll在Windows系统启动时会被自动加载,它负责调用病毒主要功能模块kv2005.dll。 3. kv2005.dll被加载后,首先建立互斥体“KvShell_2018”,确保系统中只有一个模块实例,然后设置窗口钩子函数。 4. 如果系统时间晚于2005年8月1日,病毒会查找包括IE在内的多种浏览器,他们是: Maxthon TTraveler (腾讯) MYIE TouchNet Opera SmartExplorer k-meleon GreenBrowser 一旦发现用户正在工行个人网上银行的登录界面,则开始记录用户的键盘输入。如果卡号长度为19个字符,并以"95588"开头时,病毒就将会记录下的卡号、密码和验证数字等信息加密后提交给http://bbs.******.com/。目前该地址定向到http://www.***.com/admin/2005.asp。 5. 如果系统时间晚于2005年8月1日,病毒会试图结束多种国内杀毒软件的进程。 6. 病毒通过检测调试器、重写SetWindowsHookEx API函数等方法对自身进行保护。 |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。