病毒描述
“網銀大盜”(又名:網銀竊賊 Banker keylogger)病毒類型:木馬
危險級別:★★
影響平台: Win2000,WinXP,Win2003
該病毒通過鍵盤記錄的方式,監視用戶操作。當用戶使用個人網上銀行進行交易時,該病毒會惡意記錄用戶所使用的帳號和密碼,記錄成功後,病毒會將盜取的帳號和密碼傳送給病毒作者,造成經濟損失。
傳染條件: 該病毒沒有主動傳播的性質,但容易被人惡意安裝或是欺騙安裝。請廣大網路用戶不要在不安全的網址中下載病毒,或是點擊QQ等即時通訊中傳來的網址。
專家建議
針對“網銀大盜”的手法,浦發銀行個人銀行部工作人員給市民4點建議:
第一,最好去銀行申請網上銀行專業版。網上銀行專業版一般的黑客沒有辦法破解,安全性非常高。
第二:如果要登錄銀行網站,一定要仔細核對網址。同時最好不要輕易打開不認識的郵件,尤其是一些後綴為.exe的執行檔。
第三:要定期查看“歷史交易明細”、和查閱對賬單,如發現異常交易或賬務差錯,立即與銀行聯繫,避免損失。
第四:如果不是採用硬體加密手段,不要在公用計算機上使用網上銀行,從而使網上身份識別系統被攻破,網上賬戶遭盜用。
病毒運行方式
1、生成病毒檔案
病毒運行後在系統資料夾%System%下創建自身的副本,檔案名稱稱為svch0stexe。(其中,%System%在Windows95/98/Me 下為C:WindowsSystem,在Windows NT/2000下為C:WinntSystem32,在Windows XP下為 C:WindowsSystem32)
2、修改註冊表
病毒修改註冊表,以達到隨系統啟動而自動運行的目的,在HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrent VersionRun下創建:“svch0st.exe” =""%System%svch0st.exe""taskmgr.exe" =""%System%svch0st.exe"
3、竊取個人網上銀行信息
病毒運行後檢查IE視窗標題欄,判定當前視窗是否為網上銀行的登錄頁面,涉及到國內多家銀行的網上交易系統。一旦發現當前IE視窗為上述銀行的登錄頁面,病毒立即開始記錄鍵盤輸入的所有鍵值,記錄的鍵值幾乎包括了所有可能的鍵盤錄入。竊取的用戶信息包括網上銀行的賬號、密碼、驗證碼等。
4、傳送竊取信息到指定地址
病毒截獲被感染計算機所輸入的鍵盤值後,將其竊取到的信息傳送到指定的地址。
處理該病毒的相關建議:
1、終止病毒進程
在Windows9x/ME系統,同時按下CTRL+ALT+DELETE,在Windows NT/2000/XP系統中,同時按下CTRL+SHIFT+ESC,選擇"任務管理器--〉進程",選中正在運行的進程"svch0st.exe",並終止其運行。
2、註冊表的恢復
點擊“開始--〉運行”,輸入regedit,運行註冊表編輯器,依次雙擊左側的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,並刪除面板右側的“svch0st.exe”= “%System%svch0st.exe”和“taskmgr.exe” = “%System%svch0st.exe”
3、刪除病毒釋放的檔案
點擊“開始--〉查找--〉檔案和資料夾”,查找檔案“svch0st.exe”,並將找到的檔案刪除。
4、配置防火牆和邊界路由器
根據病毒的技術特點,設定防火牆和邊界路由器的規則,阻斷病毒的入侵。