病毒名称:网银大盗Ⅲ(TrojanSpy.Elelist)
病毒类型:木马
病毒大小:38400字节
传播方式:网络
2004年6月8日,江民反病毒中心率先截获 "网银大盗Ⅲ"木马病毒(TrojanSpy.Elelist)。该木马偷取英国巴克莱等若干国外银行网上银行的帐号和密码,通过电子邮件发送给病毒作者。
具体技术特征如下:
1. 病毒运行后,将在用户计算机中创建以下文件:
%SystemDir%/mssdk32.dll, 119字节,
%SystemDir%/mslib32.dll, 24576字节,
%WinDir%/system/user32.exe, 38400字节,
病毒文件
病毒文件
2. 在注册表的
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下创建:
"User Mansger " = "%WinDir%/system/user32.exe"
或修改
SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Shell为:
"Shell" = "Explorer.exe %WinDir%/system/user32.exe"
注册表内容
这样,病毒在系统启动时即可运行。
3. 病毒运行后调用mslib32.dll病毒模块,该模块负责设置消息挂钩,并对IE页面控件进行监视,一旦认定用户正在某些国外银行的网页上进行交互操作,就把各种IE控件的有关信息(包括用户名、密码输入框,各种选择框,ComboBox选择列表等)记录到%SystemDir%/msvcdc.dll和%SystemDir%/msvxdexe.dll两个文件中。
4. 病毒主程序每隔1秒检查%SystemDir%/msvcdc.dll和%SystemDir%/msvxdexe.dll是否存在,如果存在,就把这2个文件中的内容通过电子邮件发送给病毒作者11list@mail.ru。
针对该病毒,江民公司已经在第一时间升级。请您立即升级到6月8日病毒库,即可全面查杀该病毒,保护您个人网上银行帐号和密码的安全。(完)
ehviewer新版白色
熊猫看书