Trojan/PSW.Tarno

Trojan/PSW.Tarno

病毒类型：木马

危害等级：*

影响平台：Win9X/2000/XP/NT/Me/2003

Trojan/PSW.Tarno是一个木马程序，当你浏览一些特定网页时它会盗取一些信息。

传播过程及特征：

1.创建文件夹：%System%Drvin

2.当你打开下列URL窗口时，木马会利用剪切板和摄屏操作获取数据：

www.e-gold.com

www.e-gold.com/srk.asp

online-business.lloydstsb.co.uk/logon.ibc

online-business.lloydstsb.co.uk/customer.ibc

online.lloydstsb.co.uk/logon.ibc

online.lloydstsb.co.uk/customer.ibc

olb2.nationet.com/default2.asp

ibank.barclays.co.uk/fp/1_2d

www.ukpersonal.hsbc.co.uk/public/ukpersonal/internet_banking/en/logon.jhtml

www.ebank.hsbc.co.uk/logonindex.jsp

olb2.nationet.com/MyAccounts/frame_MyAccounts_WP2.asp?ID=

3.盗取的数据存储到%System%Drvin文件夹下，文件一般使用.bmp, .txt, 或 .rar 扩展名，最终木马利用自带的SMTP引擎将生成的.rar文件发送给攻击者。

4.修改注册表，创建下列子键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftPawerISwi = %日期时间值%

HKEY_LOCAL_MACHINESOFTWAREMicrosoftOarsCount

HKEY_LOCAL_MACHINESOFTWAREMicrosoftPdot

注：%Windir%为变量，一般为C:Windows 或 C:Winnt；

%System%为变量，一般为C:WindowsSystem (Windows 95/98/Me),

C:WinntSystem32 (Windows NT/2000), 或

C:WindowsSystem32 (Windows XP)。