[zt]网上惊现“网银大盗Ⅲ”病毒 专偷国际银行

[苦逼热狗]

网上惊现“网银大盗Ⅲ”病毒 专偷国际银行

作者：佚名 来源：赛迪网
类别：业类新闻 添加日期：2004.06.08 今日/总浏览：1/604


6月8日中午，江民快速反病毒中心截获“网银大盗Ⅲ”，与此前截获的网银大盗和网银大盗Ⅱ不同的是，“网银大盗Ⅲ”偷取数家国际银行网上业务的账号及密码。该病毒是通过微软IE浏览器MHT漏洞传播的木马程序。当病毒监测到被感染者登录网上银行网页时，便开始记录账号和密码，并向病毒作者发送。

江民反病毒专家分析认为，病毒作者可能俄罗斯人，该病毒发送密码用的是俄罗斯的一个免费邮箱。

反病毒专家提醒用户，针对该病毒，江民公司已紧急升级，升级KV2004病毒库到6月8日版本，可有效防范网银大盗Ⅲ。没有安装微软NHT漏洞补丁的用户，请及时升级操作系统，打上微软MHT漏洞补丁。不要浏览不良网站，以防病毒利用系统漏洞自动下载。江民特别提醒，凡涉及国际金融业务的企事业单位尤其需要加强防范工作，一旦资金丢失，造成的损失将很难挽回。

 

[苦逼热狗]

病毒名称：网银大盗Ⅲ(TrojanSpy.Elelist)

　　病毒类型：木马

　　病毒大小：38400字节

　　传播方式：网络

　　2004年6月8日，江民反病毒中心率先截获 "网银大盗Ⅲ"木马病毒(TrojanSpy.Elelist)。该木马偷取英国巴克莱等若干国外银行网上银行的帐号和密码，通过电子邮件发送给病毒作者。

　　具体技术特征如下：

　　1. 病毒运行后，将在用户计算机中创建以下文件：

　　%SystemDir%\mssdk32.dll, 119字节，

　　%SystemDir%\mslib32.dll, 24576字节，

　　%WinDir%\system\user32.exe, 38400字节，

病毒文件

病毒文件

　　2. 在注册表的

　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建：

　　"User Mansger " = "%WinDir%\system\user32.exe"

　　或修改

　　SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell为：

　　"Shell" = "Explorer.exe %WinDir%\system\user32.exe"


注册表内容

　　这样，病毒在系统启动时即可运行。

　　3. 病毒运行后调用mslib32.dll病毒模块，该模块负责设置消息挂钩，并对IE页面控件进行监视，一旦认定用户正在某些国外银行的网页上进行交互操作，就把各种IE控件的有关信息(包括用户名、密码输入框，各种选择框，ComboBox选择列表等)记录到%SystemDir%\msvcdc.dll和%SystemDir%\msvxdexe.dll两个文件中。

　　4. 病毒主程序每隔1秒检查%SystemDir%\msvcdc.dll和%SystemDir%\msvxdexe.dll是否存在，如果存在，就把这2个文件中的内容通过电子邮件发送给病毒作者11list@mail.ru。

　　针对该病毒，江民公司已经在第一时间升级。请您立即升级到6月8日病毒库，即可全面查杀该病毒，保护您个人网上银行帐号和密码的安全。(完)

 

[苦逼热狗]

11list@mail.ru 看起来是个俄罗斯的h4ck3r,:lol:
他们老干这类事情