病毒名称:
Trojan.Keylogger.NetBank.enc
类别: 木马病毒
病毒资料:
破坏方法:
该病毒使用Visual Basic编写,ASPack压缩,是一个盗取用户信息的木马
病毒使用三个时间控件
第一个Timer的以间隔为10毫秒的扫描用户当前活动进程是否为:
"Microsoft Internet EXPlorer"
"Netscape"
"Offline Explorer"
即是否正在使用微软的IE浏览器或网景的Netscape浏览器,如果是病毒则检测当前网页是否包含特殊字眼,如果存在,病毒则启动第二个Timer,
第二个Timer病毒用来记录键盘操作,病毒对键盘的每一个键都进行详细记录,同时保存在病毒进程的一个TEXT。
第三个Timer是一个发送盗取信息的计时器,间隔为60秒,当文本控件中已经存在数据,则说明已经盗取到用户信息,病毒随后会将信息发送到某个站点的一个页面:http://***.com/ding/get.asp
病毒会修改注册表进行自启动,相关键值如下:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"svchost.exe" = %SYSDIR%\SVCH0ST.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"taskmgr.exe" = C:\WINDOWS\SYSTEM\SVCH0ST.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunOnce
"svchost.exe" = %SYSDIR%\SVCH0ST.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunOnce
"taskmgr.exe" = C:\WINDOWS\SYSTEM\SVCH0ST.EXE
其中文件:taskmgr.exe和svchost.exe均为病毒体。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-6-3