Win32.Troj.Banker.aq

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

33792

影响系统:

Win9xWin2000

病毒行为:

编写工具:

delphi编写,upx压缩

传染条件:

该木马利用了http://207.46.249.252/technet/security/bulletin/ms04-0mspxMicrosoftInternetExplorerITSProtocolZoneBypassVulnerability漏洞

发作条件:

这是一个偷取银行帐号密码的木马,当用户访问特定页面时,该木马就会记录用户的键盘记录并将记录的结果通过Email发送给攻击者。

系统修改:

1,拷贝自身到

%System%Wmiprvse.exe

%System%Ntsvc.exe

%Windir%Userlogon.exe

2,建立%System%Rsasec.dll文件,为一个键盘记录所用的Dll程序

3,建立%System%

sacb.dll,实质为一个text文件,用来记录监听的结果。

4,向注册表添加:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

"wmiprvse.exe"="%system%wmiprvse.exe"

5,当操作系统为:NT/2000/XP

添加:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWindows

"Run"="%Windir%userlogon.exe"

当操作系统为:95/98/Me

在Win.ini添加:

run=%Windir%userlogon.exe,同时修改注册表:

shell=explorer.exe%system%

tsvc.exe

6,当用户访问

NationalAustraliaBank

ANZInternetBanking-Logon

NationalInternetBanking

CitibankAustralia

WelcometoCiti

WelcometoCitibank

Citi-SignOn

BankofChina

online@hsbc

HSBCinHongKong

Banesto

Sabadell

或者这些

https://olb.westpac.com.au/ib/asp/

https://olb.westpac.com.au/ib/

链接时将记录用户的击键记录。

7,利用自己的smtp发信到xxx@mail.ru信箱。

发作现象:

该木马运行后,用户会在%Windir%发现以下几个文件:

Wmiprvse.exe

Ntsvc.exe

Userlogon.exe

rsacb.dll

用记事本打开rsacb.dll文件后会发现是一些自己以前敲击键盘的记录。

非凡说明:

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航