爱游戏app:“网银大盗Ⅱ”技术分析报告

病毒名称:网银大盗Ⅱ(Trojan/KeyLog.Dingxa)

病毒类型:木马

病毒大小:16284字节

传播方式:网络

压缩方式:ASpack

2004年6月2日晚,又截获“网银大盗”新变种,该木马盗取几乎涵盖中国目前所有个人网上银行的帐号、密码、验证码等等,发送给病毒作者。此木马与4月分截获网银大盗(Trojan/PSW.HidWebmon)有异曲同工之处,但涉及银行之多,范围之广是历来最大的,不但给染毒用户造成的损失更大,更直接,也给各网上银行造成更大的安全威胁和信任危机。

具体技术特征如下:

1. 病毒运行后,盗取的网上银行涉及:

银联支付网关–>执行支付

银联支付网关:

中国工商银行新一代网上银行

中国工商银行网上银行:

工商银行网上支付:

申请牡丹信用卡

招商银行个人银行

招商银行一网通:

个人网上银行

中国建设银行网上银行

登陆个人网上银行;;

中国建设银行

中国建设银行网上银行:

交通银行网上银行

交通银行网上银行:

深圳发展银行帐户查询系统

深圳发展银行|个人银行

深圳发展银行 | 个人用户申请表

深圳发展银行:

民生网个人普通版

民生银行:

网上银行–个人普通业务

华夏银行:

上海银行企业网上银行

上海银行:

首都电子商城商户管理平台

首都电子商城商户管理:

中国在线支付网: :IPAY网上支付中心

中国在线支付网商户:

招商银行网上支付中心

招商银行网上支付:

个人网上银行-网上支付

2. 病毒算机中创建以下文件:

%SystemDir%\\svch0st.exe,16284字节,病毒本身

3. 在注册表的HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\Current Version\\Run中创建:

“svch0st.exe” = “%SystemDir%\\svch0st.exe”

“taskmgr.exe” = “%SystemDir%\\svch0st.exe”

4. 病毒运行后会根据IE窗口标题栏判断是否为网上银行页面,如果发现上述提到的银行后,病毒立即开始记录键盘敲击的每一个键值,记录键值包括:

AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz1

!2@3#4$5%6^7&8*9(0)

{BackSpace}

{Tab}

{回车}

{Shift}

{Ctrl}

{Alt}

{Pause}

{Esc}

{空格}

{End}

{Home}

{Left}

{Right}

{Up}

{Down}

{Insert}

{Delete}

;:=+,<-_.>/?`~][{\\|]}'

{Del}

{F1}

{F2}

{F3}

{F4}

{F5}

{F6}

{F7}

{F8}

{F9}

{F10}

{F11}

{F12}

{NumLock}

{ScrollLock}

{PrintScreen}

{PageUp}

{PageDown}

5. 病毒截取到键盘值后,会形成信息发到指定https://*****.com/****/get.asp。其信息如下:

https://*****.com/****/get.asp?txt=××银行:<截获的按键>

6.病毒开启3个定时器,每隔几秒钟搜索用户的IE窗口,如果发现用户正在使用上述银行的“个人网上银行”的登陆界面,则尝试记录用户键入的所有键值,然后把窃取到的信息通过get方式发送到指定的服务器

You Might Also Like

Leave a Reply

Back to top