病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
5504
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个利用了驱动技术,盗取银行密码的木马程序.该驱动能够在系统内核挂钩键盘驱动,记录用户所有键盘操作.同时创建一个消息钩子,监视用户打开的窗口,假如发现用户打开的窗口是"工商银行"和"建设银行"的网上银行,就从驱动取出用户输入的帐户信息,并通过ie发送到特定地址.该病毒还能添加到自启动项,能够开机自动运行.
1,释放下列病毒文件:
%system%\Rtvcan.sys
%system%\Rtvcan.exe
2,添加注册表信息:
Software\Microsoft\Windows\CurrentVersion\Run
Rtvcan=Rtvcan.exe
3,创建服务:
KeyboardSpy
4,建立消息钩子,假如发现用户打开的是下列窗口之一,就记录用户输入:
"中国工商银行新一代网上银行"
"中国建设银行网上银行系统"
5,记录的帐号信息被保存到下列地址:
%system%\KB897413.txt
6,发送到下列地址:
http://www.steven12345.com/CRM/send.asp*