Trojan-Spy.Win32.Banker.ez

2008-02-23 08:40:10来源：互联网阅读 ()

病毒名称: Trojan-Spy.Win32.Banker.ez 类别：木马病毒病毒资料：破坏方法：

这是一个偷窃用户银行信息的间谍木马。采用VC 7.0编写，UPX加壳。
运行后将自己复制到两处。拷贝到系统目录下，文件名为usrh.exe，再复制到Windows目录下，文件名为winuser.exe。(98系统目录为系统盘的system目录,2k/XP为system32目录)。

添加注册表项：

HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
Userlogon : ％SYSDIR％\usrh.exe

修改系统配置文件Win.ini,把Windows节Run项改为
[windows]
run=％WINDIR％\winuser.exe
这样，每次开机病毒都能启动。
(％SYSDIR％和％WINDIR％要替换成相应的目录)
病毒会创建名称为“34171371358145”的互斥量，保证只有一个病毒实例在运行。
病毒驻留内存，每隔50毫秒获得当前活动窗体。经过判断，如果是IE窗体，获得IE窗体上Combobox和Edit窗体的句柄，然后向其发送消息获得窗体文本。一般情况下，用户在使用IE上银行网站时，一些敏感信息如用户帐号，密码，金额，很多都是通过Combobox和Edit窗体显示。所以，病毒这样做很容易获得用户的重要信息，对用户造成损失。

在获得想要的信息后，病毒将这些信息通过电子邮件发送出去。然后退出进程，以免引起用户怀疑。

为避免此类病毒对自己带来损失，用户在银行网站进行一些交易时最好使用杀毒软件进行杀毒，确保没有间谍木马在运行，才可放心上网交易。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2005-1-6

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有