病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：木马

影响系统：Win9x / WinNT

病毒行为:

这是一个专门盗取工商银行账号、密码的木马病毒。木马一旦被安装后，会监控

工商银行“个人网上银行”的登录界面，记录登录者键入的账号、密码信息，然

后将这些信息发送到指定的网址。

1. 建立名为“SingleBANDK2005”的互斥体，从而保证只有一个病毒体在运行。

2. 释放名为nwiz32.dll(59904字节)的动态链接库到%SYSTEM%目录下，并将自

身也拷贝到%SYSTEM%目录下，命名为nwiz32.exe，然后添加注册表启动项：

[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"nwiz32" = "%SYSTEM%\wiz32.exe"

以实现开机自启。

3. 病毒体调用nwiz32.dll中的函数建立系统消息钩子，监控多种浏览器运行程序：

Maxthon.exe

IEXPLORE.EXE

TTraveler.exe

MYIE2.exe

GreenBrowser.exe

当发现有工商银行“个人网上银行”的登录界面时，病毒会记录下登录者输

入的账号、密码信息。

4. 盗取到信息后，病毒体还会建立线程，将这些信息发送到指定的网址：

http://www.s********t.biz/images/skins/default.asp