TrojanSpy.Banker.s

因而可以通過傳送電子郵件的方式傳播誘惑性Email，引誘更多用戶下載病毒。

具體技術特徵如下：

1. 生成若干自身的複本檔案：

%System%\exp1orer.exe, 61440位元組

%System%\notepid.exe, 61440位元組

%System%\rund1132.exe, 61440位元組

%System%\rundl132.exe, 61440位元組

c:\program files\internet explorer\iexplore.exe.hid, 61440位元組

2. 添加下列註冊表啟動項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TaskBellExe" = %System%\rund1132.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"Run" = %System%\rundl132.exe

這樣，在Windows啟動時，病毒就可以自動執行。

3. 會把下列類型檔案與病毒程式關聯：

.txt .exe .com .bat .pif

4. 通過標題欄是否包含“銀行”，“bank”，“BANK”等字串定位要盜取信息的目標視窗。

5. 針對招商銀行網頁，企圖盜取下列信息：

4.0主登入用戶名

4.2主登入用戶名

用戶信息

證書恢覆信息

7. 下載成功後，將利用下載的程式模組在用戶計算機上搜尋電子郵件地址，並傳送誘使用戶下載該病毒的郵件進行傳播。發信模組將避免向含有下列字串的郵件地址發信：

MICROSOFT

rising

jiangmin

kingsoft

symantec

Norton

郵件特徵如下：

發信人：偽造

標題：快來看看我的偷拍作品

正文：

朋友:

你好!

我是某五星級酒店的經理,同時我也是一名專拍社會醜惡現象的偷拍愛好者,近年來我在酒店一些高檔客房偷偷裝上攝像頭,偷拍了兩百多部作品......

"中國醜惡現象偷拍網歡迎訪問,希望能得到大家的支持,本網站系公益性網站,無任何廣告,偷拍影片全部採用asx格式壓縮,如果您的系統沒有安裝解碼器,可以在本站線上安裝或下載安裝即可觀賞本人的作品.

中國醜惡現象偷伯網