TrojanSpy.Win32.Banker.u

2008-02-23 08:42:33来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

病毒名称: TrojanSpy.Win32.Banker.u 类别: 木马病毒 病毒资料: 破坏方法:

这是一个驱动级的木马,中毒后在安全模式下也能启动,极难清除。

病毒以动态库形式存在,注入到winlogon进程中,与下层的驱动进行通讯。

创建一个互斥体,保证驱动只为一个应用程序服务。互斥体名称为"FUCK OF KASPERSKY",可见病毒作者有意戏弄俄罗斯的KASPERSKY公司。

病毒获得当前活动窗体,然后枚举所有子窗体,当发现有窗体的文本包含如下字符串时

exhosting.biz,
bank.Fidelity,
ikobo,
e-gold,
e-metal,
westpac,
planters,
paypal,
ebay,
hsbc,
fethard,
yambo,
banque,
huntington,
offshore,
bookers,
keybank,
banco..

病毒创建一个线程,与相应网站建立TCP连接,发送如下数据来保持连接不被关闭。

GET /data10.PHP?info=%s&user=%s HTTP/1.1
User-Agent: A-311
Host: www.%s
Connection: Keep-Alive
以上的一些网站都是国外一些著名的银行、电子商务网站,如汇丰银行,电子港湾等。

然后病毒通过枚举活动窗体的所有子窗体,遍历所有Edit控件,获得控件上的文本信息。在银行和电子商务网站上,甚至大多数网站,用户输入的的用户名和密码信息一般都使用Edit控件显示。所以病毒很容易窃取到用户在网页输入的信息。从而造成一些重要信息的泄漏。

盗窃得手后病毒将获得的信息通过HTTP协议发送到外部主机。由于病毒注入到系统正常进程中,很难引起怀疑。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。

发现日期: 2004-12-22

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:Trojan.Startpage.QQ2004.a

下一篇:Trojan.PSW.QQmsgaogo.enc