病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
71531
影响系统:
Win9xWinNT
病毒行为:
这是一个专门盗取工商银行账号、密码的木马病毒。木马一旦被安装后,会监控
工商银行“个人网上银行”的登录界面,记录登录者键入的账号、密码信息,然
后将这些信息发送到指定的网址。
1.建立名为“SingleBANDK2005”的互斥体,从而保证只有一个病毒体在运行。
2.释放名为nwiz32.dll(59904字节)的动态链接库到%SYSTEM%目录下,并将自
身也拷贝到%SYSTEM%目录下,命名为nwiz32.exe,然后添加注册表启动项:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz32"="%SYSTEM%\nwiz32.exe"
以实现开机自启。
3.病毒体调用nwiz32.dll中的函数建立系统消息钩子,监控多种浏览器运行程序:
Maxthon.exe
IEXPLORE.EXE
TTraveler.exe
MYIE2.exe
GreenBrowser.exe
当发现有工商银行“个人网上银行”的登录界面时,病毒会记录下登录者输
入的账号、密码信息。
4.盗取到信息后,病毒体还会建立线程,将这些信息发送到指定的网址:
http://www.s********t.biz/images/skins/default.asp