簡介
網銀大盜Ⅱ(Trojan/KeyLog.Dingxa)
病毒類型:木馬
病毒大小:16284位元組
傳播方式:網路
壓縮方式:ASpack
“網銀大盜”新變種,該木馬盜取幾乎涵蓋中國目前所有個人網上銀行的帳號、密碼、驗證碼等等,傳送給病毒作者。此木馬與4月分截獲網銀大盜(Trojan/PSW.HidWebmon)有異曲同工之處,但涉及銀行之多,範圍之廣是歷來最大的,不但給染毒用戶造成的損失更大,更直接,也給各網上銀行造成更大的安全威脅和信任危機。
具體技術特徵如下:
1. 病毒運行後,盜取的網上銀行涉及:
銀聯支付網關-->執行支付
銀聯支付網關:
中國工商銀行新一代網上銀行
中國工商銀行網上銀行:
工商銀行網上支付:
申請牡丹信用卡
招商銀行個人銀行
招商銀行一網通:
個人網上銀行
中國建設銀行網上銀行
登入個人網上銀行;;
中國建設銀行
中國建設銀行網上銀行:
交通銀行網上銀行
交通銀行網上銀行:
深圳發展銀行帳戶查詢系統
深圳發展銀行|個人銀行
深圳發展銀行 | 個人用戶申請表
深圳發展銀行:
民生網個人普通版
民生銀行:
網上銀行--個人普通業務
華夏銀行:
上海銀行企業網上銀行
上海銀行:
首都電子商城商戶管理平台
首都電子商城商戶管理:
中國線上支付網: :IPAY網上支付中心
中國線上支付網商戶:
招商銀行網上支付中心
招商銀行網上支付:
個人網上銀行-網上支付
2. 病毒算機中創建以下檔案:
%SystemDir%\svch0st.exe,16284位元組,病毒本身
3. 在註冊表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run中創建:
“svch0st.exe” = “%SystemDir%\svch0st.exe”
“taskmgr.exe” = “%SystemDir%\svch0st.exe”
4. 病毒運行後會根據IE視窗標題欄判斷是否為網上銀行頁面,如果發現上述提到的銀行後,病毒立即開始記錄鍵盤敲擊的每一個鍵值,記錄鍵值包括:
AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz1
!2@3#4%6^7&8*9(0)
{回車}
{空格}
;:=+,<-_.>/?`~】【{\|】}'
5. 病毒截取到鍵盤值後,會形成信息發到指定http://*****.com/****/get.asp。其信息如下:
http://*****.com/****/get.asp?txt=××銀行:<截獲的按鍵>
6.病毒開啟3個定時器,每隔幾秒鐘搜尋用戶的IE視窗,如果發現用戶正在使用上述銀行的“個人網上銀行”的登入界面,則嘗試記錄用戶鍵入的所有鍵值,然後把竊取到的信息通過get方式傳送到指定的伺服器。
