Win32.Troj.ICBCSpy.l

病毒名稱(中文): 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬程序 病毒長度: 5504 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個利用了驅動技術，盜取銀行密碼的木馬程序.該驅動能夠在系統內核挂鈎鍵盤驅動,記錄用戶所有鍵盤操作.同時創建一個消息鈎子，監視用戶打開的窗口，假如發現用戶打開的窗口是＂工商銀行＂和＂建設銀行＂的網上銀行，就從驅動取出用戶輸入的帳戶信息，並通過ie發送到特定地址．該病毒還能添加到自啓動項，能夠開機自動運行． 1,釋放下列病毒文件： %system%\Rtvcan.sys %system%\Rtvcan.exe 2,添加注冊表信息： Software\Microsoft\Windows\CurrentVersion\Run Rtvcan=Rtvcan.exe 3,創建服務: KeyboardSpy 4,建立消息鈎子,假如發現用戶打開的是下列窗口之一，就記錄用戶輸入： ＂中國工商銀行新一代網上銀行＂ ＂中國建設銀行網上銀行系統＂ 5,記錄的帳號信息被保存到下列地址: %system%\KB897413.txt 6,發送到下列地址： http://www.steven12345.com/CRM/send.asp*