病毒名称:
TrojanSpy.Win32.Banker.u
类别: 木马病毒
病毒资料:
破坏方法:
这是一个驱动级的木马,中毒后在安全模式下也能启动,极难清除。
病毒以动态库形式存在,注入到winlogon进程中,与下层的驱动进行通讯。
创建一个互斥体,保证驱动只为一个应用程序服务。互斥体名称为"FUCK OF KASPERSKY",可见病毒作者有意戏弄俄罗斯的KASPERSKY公司。
病毒获得当前活动窗体,然后枚举所有子窗体,当发现有窗体的文本包含如下字符串时
exhosting.biz,
bank.Fidelity,
ikobo,
e-gold,
e-metal,
westpac,
planters,
paypal,
ebay,
hsbc,
fethard,
yambo,
banque,
huntington,
offshore,
bookers,
keybank,
banco..
病毒创建一个线程,与相应网站建立TCP连接,发送如下数据来保持连接不被关闭。
GET /data10.PHP?info=%s&user=%s HTTP/1.1
User-Agent: A-311
Host: www.%s
Connection: Keep-Alive
以上的一些网站都是国外一些著名的银行、电子商务网站,如汇丰银行,电子港湾等。
然后病毒通过枚举活动窗体的所有子窗体,遍历所有Edit控件,获得控件上的文本信息。在银行和电子商务网站上,甚至大多数网站,用户输入的的用户名和密码信息一般都使用Edit控件显示。所以病毒很容易窃取到用户在网页输入的信息。从而造成一些重要信息的泄漏。
盗窃得手后病毒将获得的信息通过HTTP协议发送到外部主机。由于病毒注入到系统正常进程中,很难引起怀疑。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-12-22