基本介紹
- 中文名:證券大盜
- 外文名:Trojan/PSW.Soufan
- 類型:特洛依木馬
- 危險級別:***
- 發現時間:2004年11月25日
- 危害方式:盜取證券交易系統帳戶和密碼
病毒描述,技術特徵,解決方案,
病毒描述
2004年11月25日,江民反病毒中心截獲Trojan/PSW.Soufan特洛依木馬病毒。該木馬可以盜 取多家證券交易系統的交易帳戶和密碼。
技術特徵
1.病毒運行後,將創建自身複本於:
%WinDir%\SYSTEM32.EXE, (201216位元組)
2.在註冊表中添加下列啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System"=%WinDir%\SYSTEM32.EXE
3.木馬運行時尋找如下視窗標題:
南方證券網上交易
網上股票交易系統
華夏穩贏網上交易系統
國泰君安證券-富易
網上交易委託系統
用戶登錄 - 興業證券
如果發現上述視窗就開始啟動鍵盤鉤子對用戶登入信息進行記錄,包括用戶名和密碼。
4.在記錄鍵盤信息的同時,通過螢幕快照將用戶登入時視窗畫面保存為圖片,存放於:
c:\Screen1.bmp
c:\Screen2.bmp
5.當記錄指定次數後,將3,4中記錄的信息和圖片通過電子郵件傳送到[email protected]。
6.傳送成功後,病毒進行自殺,將自身刪除,但4中生成的。bmp圖片並未被刪除。
另外,http://shoufa*.com(或http://www.shoufa*.com)網站包含惡意代碼,會利用IE瀏覽器的“ADODB.Stream”漏洞、“Shell.Application”漏洞和“Object Data”漏洞自動下載並運行“證券大盜”木馬病毒(Trojan/PSW.Soufan)。
具體技術分析如下:
網站主頁http://shoufa*.com/index.htm包含惡意代碼:
“”
其中,http://shoufa*.com/0_login.jpg並非圖片檔案,而是一個網頁文本,它試圖使用2種方法在用戶計算機上種植木馬:
方法1:彈出假廣告視窗http://shoufa*.com/js.htm,
廣告頁面http://shoufa*.com/js.htm(TrojanDownloader/JS.Simulator.b)包含惡意代碼,它調用另一個JScript惡意腳本http://shoufa*.com/js.js(TrojanDownloader.JS.Icyfox.c)。
http://shoufa*.com/js.js利用“Shell.Application”和“ADODB.Stream”檔案下載漏洞,可以在用戶不知情中自動下載運行“證券大盜”主程式http://shoufa*.com/run.exe。
方法2:利用“Object data”漏洞,運行http://shoufa*.com/shoufa*.asp。
http://shoufa*.com/shoufa*.asp(TrojanDropper.VBS.Chin)是惡意VBScript腳本,它在用戶機器上釋放一個木馬下載程式TrojanDownloader.Rlay.b,這個木馬下載程式會去下載並運行“證券大盜”http://shoufa*.com/run.exe,然後自刪除。
註:文中所有的“shoufa*”皆為“shoufan”,為了避免讀者在閱讀時不小心點擊該惡意站點的連結而導致不必要的損失,故做此修改。
