去年7月份被江民科技反病毒中心率先截獲的“新網銀大盜”病毒作者劉某日前已經被捕。
基本介紹
- 中文名:新網銀大盜
- 病毒名稱:Trojan/PSW.VShell.a
- 病毒類型:木馬
- 危害程度:3星
- 傳播方式:網路
- 病毒大小:94208位元組
簡介,新網銀大盜作者被捕,提醒,
簡介
病毒名稱:Trojan/PSW.VShell.a
中文名稱:新網銀大盜
病毒類型:木馬
病毒大小:94208位元組
傳播方式:網路
危害程度:★★★
2005年7月10日,江民反病毒中心再次截獲一個網銀木馬(Trojan/PSW.VShell.a)。該病毒將於2005年8月1日起發作,記錄用戶鍵盤輸入,盜取工行個人網上銀行的帳號密碼,通過網頁腳本把獲得的非法信息提交給病毒作者。
病毒具體技術特徵如下:
1. 病毒運行後,創建下列檔案:
%SystemDir%\kv2005.dll,60928位元組,病毒主功能模組
%SystemDir%\kvshell2005.dll,24576位元組,病毒啟動模組
2. 和一般的向註冊表啟動項中添加鍵值的方法不同,該病毒用regsvr32.exe註冊kvshell2005.dll為BHO外掛程式,這樣kvshell2005.dll在Windows系統啟動時會被自動載入,它負責調用病毒主要功能模組kv2005.dll。
3. kv2005.dll被載入後,首先建立互斥體“KvShell_2018”,確保系統中只有一個模組實例,然後設定視窗鉤子函式。
4. 如果系統時間晚於2005年8月1日,病毒會查找包括IE在內的多種瀏覽器,他們是:
Maxthon
TTraveler (騰訊)
MYIE
TouchNet
Opera
SmartExplorer
GreenBrowser
一旦發現用戶正在工行個人網上銀行的登錄界面,則開始記錄用戶的鍵盤輸入。如果卡號長度為19個字元,並以"95588"開頭時,病毒就將會記錄下的卡號、密碼和驗證數字等信息加密後提交給http://bbs.******.com/。目前該地址定向到http://www.***.com/admin/2005.asp。
5. 如果系統時間晚於2005年8月1日,病毒會試圖結束多種國內防毒軟體的進程。
6. 病毒通過檢測調試器、重寫SetWindowsHookEx API函式等方法對自身進行保護。
新網銀大盜作者被捕
去年7月份被江民科技反病毒中心率先截獲的“新網銀大盜”病毒作者劉某日前已經被捕。犯罪嫌疑人劉某系廈門市某中專校在校生,被捕時年僅16歲。他通過攻陷網站種植木馬的形式,盜竊某銀行網上銀行用戶密碼賬號,然後通過多次轉賬的形式提取現金。截至案發時,劉某已經竊取現金達62500餘元。