病毒名称:
Trojan-Spy.Win32.Banker.ez
类别: 木马病毒
病毒资料:
破坏方法:
这是一个偷窃用户银行信息的间谍木马。采用VC 7.0编写,UPX加壳。
运行后将自己复制到两处。拷贝到系统目录下,文件名为usrh.exe,再复制到Windows目录下,文件名为winuser.exe。(98系统目录为系统盘的system目录,2k/XP为system32目录)。
添加注册表项:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
Userlogon : %SYSDIR%\usrh.exe
修改系统配置文件Win.ini,把Windows节Run项改为
[windows]
run=%WINDIR%\winuser.exe
这样,每次开机病毒都能启动。
(%SYSDIR%和%WINDIR%要替换成相应的目录)
病毒会创建名称为“34171371358145”的互斥量,保证只有一个病毒实例在运行。
病毒驻留内存,每隔50毫秒获得当前活动窗体。经过判断,如果是IE窗体,获得IE窗体上Combobox和Edit窗体的句柄,然后向其发送消息获得窗体文本。一般情况下,用户在使用IE上银行网站时,一些敏感信息如用户帐号,密码,金额,很多都是通过Combobox和Edit窗体显示。所以,病毒这样做很容易获得用户的重要信息,对用户造成损失。
在获得想要的信息后,病毒将这些信息通过电子邮件发送出去。然后退出进程,以免引起用户怀疑。
为避免此类病毒对自己带来损失,用户在银行网站进行一些交易时最好使用杀毒软件进行杀毒,确保没有间谍木马在运行,才可放心上网交易。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-1-6