Win32.Troj.Banker.aq

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

33792

影响系统:

Win9xWin2000

病毒行为:

编写工具:

delphi编写，upx压缩

传染条件:

该木马利用了http://207.46.249.252/technet/security/bulletin/ms04-0mspxMicrosoftInternetExplorerITSProtocolZoneBypassVulnerability漏洞

发作条件:

这是一个偷取银行帐号密码的木马，当用户访问特定页面时，该木马就会记录用户的键盘记录并将记录的结果通过Email发送给攻击者。

系统修改:

1，拷贝自身到

%System%Wmiprvse.exe

%System%Ntsvc.exe

%Windir%Userlogon.exe

2，建立%System%Rsasec.dll文件，为一个键盘记录所用的Dll程序

3，建立%System%

sacb.dll，实质为一个text文件，用来记录监听的结果。

4，向注册表添加：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

"wmiprvse.exe"="%system%wmiprvse.exe"

5，当操作系统为：NT/2000/XP

添加：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWindows

"Run"="%Windir%userlogon.exe"

当操作系统为：95/98/Me

在Win.ini添加：

run=%Windir%userlogon.exe，同时修改注册表：

shell=explorer.exe%system%

tsvc.exe

6，当用户访问

NationalAustraliaBank

ANZInternetBanking-Logon

NationalInternetBanking

CitibankAustralia

WelcometoCiti

WelcometoCitibank

Citi-SignOn

BankofChina

online@hsbc

HSBCinHongKong

Banesto

Sabadell

或者这些

https://olb.westpac.com.au/ib/asp/

https://olb.westpac.com.au/ib/

链接时将记录用户的击键记录。

7，利用自己的smtp发信到xxx@mail.ru信箱。

发作现象:

该木马运行后，用户会在%Windir%发现以下几个文件：

Wmiprvse.exe

Ntsvc.exe

Userlogon.exe

rsacb.dll

用记事本打开rsacb.dll文件后会发现是一些自己以前敲击键盘的记录。

非凡说明:

• ·Win32.Troj.Sced.a
• ·worm.hell00
• ·Worm.Mapson.c
• ·Win32.Troj.QQmsgTail.h
• ·Worm.Sdbot.Ge
• ·Win32.Troj.MirBoy.bj
• ·Win32.Troj.QQDragon.t
• ·Win32.Hack.RBot.s
• ·Win32.Troj.Dumador.ai
• ·Win32.Troj.MirSpy7005_1