词条 | Trojan/KeyLog.Dingxa |
释义 | 网银大盗Ⅱ(Trojan/KeyLog.Dingxa) 病毒类型:木马 病毒大小:16284字节 传播方式:网络 压缩方式:ASpack “网银大盗”新变种,该木马盗取几乎涵盖中国目前所有个人网上银行的帐号、密码、验证码等等,发送给病毒作者。此木马与4月分截获网银大盗(Trojan/PSW.HidWebmon)有异曲同工之处,但涉及银行之多,范围之广是历来最大的,不但给染毒用户造成的损失更大,更直接,也给各网上银行造成更大的安全威胁和信任危机。 具体技术特征如下: 1. 病毒运行后,盗取的网上银行涉及: 银联支付网关-->执行支付 银联支付网关: 中国工商银行新一代网上银行 中国工商银行网上银行: 工商银行网上支付: 申请牡丹信用卡 招商银行个人银行 招商银行一网通: 个人网上银行 中国建设银行网上银行 登陆个人网上银行;; 中国建设银行 中国建设银行网上银行: 交通银行网上银行 交通银行网上银行: 深圳发展银行帐户查询系统 深圳发展银行|个人银行 深圳发展银行 | 个人用户申请表 深圳发展银行: 民生网个人普通版 民生银行: 网上银行--个人普通业务 华夏银行: 上海银行企业网上银行 上海银行: 首都电子商城商户管理平台 首都电子商城商户管理: 中国在线支付网: :IPAY网上支付中心 中国在线支付网商户: 招商银行网上支付中心 招商银行网上支付: 个人网上银行-网上支付 2. 病毒算机中创建以下文件: %SystemDir%\\svch0st.exe,16284字节,病毒本身 3. 在注册表的HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\Current Version\\Run中创建: “svch0st.exe” = “%SystemDir%\\svch0st.exe” “taskmgr.exe” = “%SystemDir%\\svch0st.exe” 4. 病毒运行后会根据IE窗口标题栏判断是否为网上银行页面,如果发现上述提到的银行后,病毒立即开始记录键盘敲击的每一个键值,记录键值包括: AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz1 !2@3#4$5%6^7&8*9(0) {BackSpace} {Tab} {回车} {Shift} {Ctrl} {Alt} {Pause} {Esc} {空格} {End} {Home} {Left} {Right} {Up} {Down} {Insert} {Delete} ;:=+,<-_.>/?`~][{\\|]}' {Del} {F1} {F2} {F3} {F4} {F5} {F6} {F7} {F8} {F9} {F10} {F11} {F12} {NumLock} {ScrollLock} {PrintScreen} {PageUp} {PageDown} 5. 病毒截取到键盘值后,会形成信息发到指定http://*****.com/****/get.asp。其信息如下: http://*****.com/****/get.asp?txt=××银行:<截获的按键> 6.病毒开启3个定时器,每隔几秒钟搜索用户的IE窗口,如果发现用户正在使用上述银行的“个人网上银行”的登陆界面,则尝试记录用户键入的所有键值,然后把窃取到的信息通过get方式发送到指定的服务器。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。