由上述网址可以看出,该病毒基本会检测目前流行的所有网银系统,甚至包含了10086的手机钱包网站。
找到上述网址之后,该病毒会通过RPC远程调用指令,获取用户的网银身份密码信息
4.其中该病毒会对支付宝和10086手机钱包网站做特殊处理。
如果检测到用户正在登陆支付宝,该病毒会修改返回到客户端的支付宝html文本,让用户误以为支付宝安全失效:
如果检测到10086手机钱包的网址,该病毒会在ftp服务端生成个asp文件,该asp文件的脚本内容为用户登陆手机钱包时提交用户名和密码post数据的URL。因为这样只要访问这个asp,就可以直接访问用户的手机钱包账户信息了:
5. 病毒收集到用户的网银账户信息之后,会把这些信息记录到ftp端。直到目前,该ftp仍然有效: