Win32.Troj.Banker.aq


  病毒别名:
  处理时间:
  威胁级别:★
  中文名称:
  病毒类型:木马
  影响系统:Windows 2000, Windows 95, Windows 98, Windows Me,
  病毒行为:
  编写工具:
  delphi编写,upx压缩
  传染条件:
  该木马利用了http://207.46.249.252/technet/security/bulletin/ms04-0mspx Microsoft Internet Explorer ITS Protocol Zone Bypass Vulnerability漏洞
  发作条件:
  这是一个偷取银行帐号密码的木马,当用户访问特定页面时,该木马就会记录用户的键盘记录并将记录的结果通过Email发送给攻击者。
  系统修改:
  1,拷贝自身到
  %System%Wmiprvse.exe
  %System%Ntsvc.exe
  %Windir%Userlogon.exe
  2,建立%System%Rsasec.dll文件,为一个键盘记录所用的Dll程序
  3,建立%System%
  sacb.dll,实质为一个text文件,用来记录监听的结果。
  4,向注册表添加:
  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
  "wmiprvse.exe"="%system%wmiprvse.exe"
  5,当操作系统为:NT/2000/XP
  添加:
  HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows
  "Run" = "%Windir%userlogon.exe"
  当操作系统为:95/98/Me
  在Win.ini添加:
  run=%Windir%userlogon.exe,同时修改注册表:
  shell=explorer.exe %system%
  tsvc.exe
  6,当用户访问
  National Australia Bank
  ANZ Internet Banking - Logon
  National Internet Banking
  Citibank Australia
  Welcome to Citi
  Welcome to Citibank
  Citi - Sign On
  Bank of China
  online@hsbc
  HSBC in Hong Kong
  Banesto
  Sabadell
  或者这些
  https:/ /olb.westpac.com.au/ib/asp/
  https:/ /olb.westpac.com.au/ib/
  链接时将记录用户的击键记录。
  7,利用自己的smtp发信到xxx@mail.ru信箱。
  发作现象:
  该木马运行后,用户会在%Windir%发现以下几个文件:
  Wmiprvse.exe
  Ntsvc.exe
  Userlogon.exe
  rsacb.dll
  用记事本打开rsacb.dll文件后会发现是一些自己以前敲击键盘的记录。
  特别说明:
编辑/发表时间:2009-05-30 05:04
编辑词条如何编辑词条?)                          历史版本

资料出处:
贡献者:
狄志军