网银大盗Ⅲ（TrojanSpy.Elelist）

病毒类型：木马

病毒大小：38400字节

传播方式：网络

rojanSpy.Elelist偷取英国巴克莱等若干国外银行网上银行的帐号和密码，通过电子邮件发送给病毒作者。

具体技术特征如下：

1. 病毒运行后，将在用户计算机中创建以下文件：

%SystemDir%\\mssdk32.dll, 119字节，

%SystemDir%\\mslib32.dll, 24576字节，

%WinDir%\\system\\user32.exe, 38400字节。

2. 在注册表的

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下创建：

"User Mansger " = “%WinDir%\\system\\user32.exe”

或修改

SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Shell为：

“Shell” = “Explorer.exe %WinDir%\\system\\user32.exe”

这样，病毒在系统启动时即可运行。

3. 病毒运行后调用mslib32.dll病毒模块，该模块负责设置消息挂钩，并对IE页面控件进行监视，一旦认定用户正在某些国外银行的网页上进行交互操作，就把各种IE控件的有关信息（包括用户名、密码输入框，各种选择框，ComboBox选择列表等）记录到%SystemDir%\\msvcdc.dll和%SystemDir%\\msvxdexe.dll两个文件中。

4. 病毒主程序每隔1秒检查%SystemDir%\\msvcdc.dll和%SystemDir%\\msvxdexe.dll是否存在，如果存在，就把这2个文件中的内容通过电子邮件发送给病毒作者11list@mail.ru。

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me),

C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。