病毒名称:网银大盗Ⅲ(TrojanSpy.Elelist)
病毒类型:木马
病毒大小:38400字节
传播方式:网络
2004年6月8日,反病毒中心率先截获 “网银大盗Ⅲ”木马病毒(TrojanSpy.Elelist)。该木马偷取英国巴克莱等若干国外银行网上银行的帐号和密码,通过电子邮件发送给病毒作者。
具体技术特征如下:
1. 病毒运行后,将在用户计算机中创建以下文件:
%SystemDir%\mssdk32.dll, 119字节,
%SystemDir%\mslib32.dll, 24576字节,
%WinDir%\system\user32.exe, 38400字节,
2. 在注册表的
HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run下创建:“User Mansger”=“%WinDir%\system\user32.exe”
或修改
SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Winlogon\Shell为:“Shell”=“Explorer.exe %WinDir%\system\user32.exe”
这样,病毒在系统启动时即可运行。
3. 病毒运行后调用mslib32.dll病毒模块,该模块负责设置消息挂钩,并对IE页面控件进行监视,一旦认定用户正在某些国外银行的网页上进行交互操作,就把各种IE控件的有关信息(包括用户名、密码输入框,各种选择框,ComboBox选择列表等)记录到%SystemDir%\msvcdc.dll和%SystemDir%\msvxdexe.dll两个文件中。
4. 病毒主程序每隔1秒检查%SystemDir%\msvcdc.dll和%SystemDir%\msvxdexe.dll是否存在,如果存在,就把这2个文件中的内容通过电子邮件发送给病毒作者[email protected]。
|