“TrojanSpy.Banker.r”的意思、由来-中文百科全书

TrojanSpy.Banker.r

病毒长度：123,904 字节

病毒类型：木马

危害等级：*

影响平台：Win9X/2000/XP/NT/Me

TrojanSpy.Banker.r是一个盗取在线银行帐号及密码的木马程序，并允许攻击者在未经授权的情况下随意访问感染的计算机。

传播过程及特征：

1.复制自身为：

%System%\\Load32.exe

%Startup%\\Rundllw.exe

%Windir%\\Dllreg.exe

%System%\\Vxdmgr32.exe

2.修改注册表：

/在注册表启动项添加键值，以便木马随系统启动时运行

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] "load32"="%System%\\load32.exe"

/可能创建子键：

HKEY_LOCAL_MACHINE\\SOFTWARE\\SARS

3.在系统安装目录下生成.dll文件截获键击记录，常用的文件名为：

sock32.dll ，sock55.dll，sock64.dll

4.Windows 95/98/Me

修改Win.ini文件

[windows]项：run=%Windir%\\dllreg.exe

修改System.ini文件

[boot]项：shell=explorer.exe %System%\\vxdmgr32.exe

Windows NT/2000/XP

修改注册表：HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

下的键值为："shell" = "explore.exe%Windir%\\system32\\vxdmgr32.exe"

5.对于包含有下列字符串的窗口，木马将记录所有的键击并存储为一个日志文件，一般文件名为%Windir%vxdload.txt 或 %Windir%bank.log

6.运行一个线程用来监测粘贴板，并将这些信息保存到%Windir%rundllx.sys；如果登陆的页面是Barclays Bank(英国巴克莱银行)，则木马会尝试摄屏并将图片存储为%windir%\\bank1.bmp 和 windir%\\bank2.bmp

7.周期性的检查日志文件的长度，如果到达一定的长度将被发送到指定的邮件地址，发送的信息还包含一些系统信息(如IP地址)。

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%Startup%是指Windows 的启动目录；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。

词条	TrojanSpy.Banker.r
释义	TrojanSpy.Banker.r 病毒长度：123,904 字节病毒类型：木马危害等级：* 影响平台：Win9X/2000/XP/NT/Me TrojanSpy.Banker.r是一个盗取在线银行帐号及密码的木马程序，并允许攻击者在未经授权的情况下随意访问感染的计算机。传播过程及特征： 1.复制自身为： %System%\\Load32.exe %Startup%\\Rundllw.exe %Windir%\\Dllreg.exe %System%\\Vxdmgr32.exe 2.修改注册表： /在注册表启动项添加键值，以便木马随系统启动时运行 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] "load32"="%System%\\load32.exe" /可能创建子键： HKEY_LOCAL_MACHINE\\SOFTWARE\\SARS 3.在系统安装目录下生成.dll文件截获键击记录，常用的文件名为： sock32.dll ，sock55.dll，sock64.dll 4.Windows 95/98/Me 修改Win.ini文件 [windows]项：run=%Windir%\\dllreg.exe 修改System.ini文件 [boot]项：shell=explorer.exe %System%\\vxdmgr32.exe Windows NT/2000/XP 修改注册表：HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon 下的键值为："shell" = "explore.exe%Windir%\\system32\\vxdmgr32.exe" 5.对于包含有下列字符串的窗口，木马将记录所有的键击并存储为一个日志文件，一般文件名为%Windir%vxdload.txt 或 %Windir%bank.log 6.运行一个线程用来监测粘贴板，并将这些信息保存到%Windir%rundllx.sys；如果登陆的页面是Barclays Bank(英国巴克莱银行)，则木马会尝试摄屏并将图片存储为%windir%\\bank1.bmp 和 windir%\\bank2.bmp 7.周期性的检查日志文件的长度，如果到达一定的长度将被发送到指定的邮件地址，发送的信息还包含一些系统信息(如IP地址)。注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt； %Startup%是指Windows 的启动目录； %System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000), 或 C:\\Windows\\System32 (Windows XP)。
随便看	佟甫佟根柱佟沟乡佟光夫佟桂莉佟国纲佟国器佟国清佟国荣佟国维佟国正佟国鼐佟海才佟衡佟洪江佟宏峰佟红艳佟卉春佟吉禄佟佳·哈哈纳扎青佟佳·皖宛佟佳·沅宛佟佳宾佟佳氏佟佳姓