基本信息

行为描述

技术特征

基本信息

TrojanSpy.Banker.s

病毒类型：木马

病毒大小：61440字节

传播方式：网络

危害等级：***

行为描述

“网银大盗”最新变种TrojanSpy.Banker.s伪装成解码器安装程序，通过键盘记录等办法尝试盗取用户某银行账号信息，还会下载邮件地址搜索模块和发信模块，因而可以通过发送电子邮件的方式传播诱惑性Email，引诱更多用户下载病毒。

技术特征

具体技术特征如下：

1. 生成若干自身的复本文件：

%System%\\exp1orer.exe, 61440字节

%System%\otepid.exe, 61440字节

%System%\\rund1132.exe, 61440字节

%System%\\rundl132.exe, 61440字节

c:\\program files\\internet explorer\\iexplore.exe.hid, 61440字节

2. 添加下列注册表启动项：

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"TaskBellExe" = %System%\\rund1132.exe

[HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows]

"Run" = %System%\\rundl132.exe

这样，在Windows启动时，病毒就可以自动执行。

3. 会把下列类型文件与病毒程序关联：

.txt .exe .com .bat .pif

4. 通过标题栏是否包含“银行”，“bank”，“BANK”等字串定位要盗取信息的目标窗口。

5. 针对招商银行网页，企图盗取下列信息：

4.0主登陆用户名

4.2主登陆用户名

用户信息

证书恢复信息

6. 尝试连接下载下列文件：

http://chinaweb.****.zgsj.com/soft/search.txt

http://chinaweb.****.zgsj.com/soft/mswinsck.txt

http://chinaweb.****.zgsj.com/news.txt

http://chinaweb.****.zgsj.com/soft/sendmail.txt

7. 下载成功后，将利用下载的程序模块在用户计算机上搜索电子邮件地址，并发送诱使用户下载该病毒的邮件进行传播。发信模块将避免向含有下列字串的邮件地址发信：

MICROSOFT

rising

jiangmin

kingsoft

symantec

Norton

邮件特征如下：

发信人：伪造

标题：快来看看我的偷拍作品

正文：

朋友:

你好!

我是某五星级酒店的经理,同时我也是一名专拍社会丑恶现象的偷拍爱好者,近年来我在酒店一些高档客房偷偷装上摄像头,偷拍了两百多部作品......

"中国丑恶现象偷拍网"网址:http://chinaweb.****.zgsj.com/index.htm,欢迎访问,希望能得到大家的支持,本网站系公益性网站,无任何广告,偷拍影片全部采用asx格式压缩,如果您的系统没有安装解码器,可以在本站在线安装或下载安装即可观赏本人的作品.

中国丑恶现象偷伯网