Win32.Troj.bankobao.a

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

38456

影响系统:

Win9xWinNT

病毒行为:

该病毒是Worm.Mydoom.ao释放出来,用于窃取用户的银行的帐号和密码。窃取的帐号包括:网上支付、建设银行、农业银行、招商银行、工商银行、淘宝网等,并通过电子邮件进行发给病毒的制作者。

1、病毒生成如下文件

"%System%\rplsvr.exe"(木马本身)

"%System%\systems.dll"(记录文件)

2、添加注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"Systems"="%System%\Systems.exe"

使得病毒在计算机在启动时运行。

3、创建类名为

"Systems"

窗口名为

"jiajia"

的窗口

4、生成以下互斥量

GMKRunOnlyOne

以保证只有一个病毒进程运行

5、当前窗口名含有以下字符时

网上支付

建设银行

农业银行

招商银行

工商银行

淘宝网

淘宝旺旺

支付宝

开始记录键盘操作。

6、对于非凡按键使用以下符号替代:

[DEL]

[INS]

[DF]

[RF]

[UF]

[LF]

[HOME]

[END]

[PD]

[PU]

[SP]

[ESC]

[EN]

[TAB]

[BK]

[F12]

[F11]

[F10]

[F9]

[F8]

[F7]

[F6]

[F5]

[F4]

[F3]

[F2]

[F1]

7、将获得的密码保存在

%system%\systems.dll

中,并将记录文件发送给用病毒作者

8、systems.dll文件格式内容为:

<

2005-10-1%窗口标题%%键盘记录%

9、记录文件通过smtp.163.com服务器发送到xqq_to@163.com邮箱中

10、其发邮件使用的账号为

xqq_from

密码为

li654321

(出于安全考虑,已将此密码修改,以阻止其发用户信息)

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航