病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
26584
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
Win32.Troj.Banger.c是一个能偷窃用户银行账号和密码的木马病毒。该病毒利用了rootkit技术,隐藏进程,文件,注册表键值。还能下载和执行病毒程序,以及窃取用户其他信息,最后这些信息会被发送出去。
1,拷贝自身到下列目录:
%System%\wmedia32.exe
%Temp%\removeMe[RANDOM_DIGITS].bat
2,添加注册表键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"WMedia32"="%System%\wmedia32.exe"
3,该病毒利用了rootkit技术,隐藏进程,文件,注册表键值
4,自动打开下列正常网页,欺骗用户此程序为正常程序
http://windowsupdate.microsoft.com/
5,从下列抵制下载病毒文件:
*80.227.146.773:8081/de_ja
*02.57.191.200:8081/de_ja
6,下载的病毒文件被保存在下列目录:
%System%\[RandomName].EXE
%System%\[RandomName].DLL
7,hook下列nativeapi:
NtClose
NtEnumerateKey
NtCreateFile
NtEnumerateValueKey
NtOpenFile
NtQueryDirectoryFile
8,窃取银行账号信息发送到指定地址。