病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
118018
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个专门盗取工商银行帐号与密码的病毒,它检查IE浏览器中的地址
来检测用户是否登录工商银行的网页,一但用户进入了有关的页面,病毒就会
读取用户输入的信息,然后把它发给木马种植者的邮箱。
1:拷贝文件
病毒会先检测在c:\Windows\system32\目录下是否存在
svchost.exe文件;若不存在,则把自己拷贝到该目录下,
并命名为svchost.exe;若存在,则在自己当前的目录下拷贝一份,
名字也为svchost.exe。
2:添加注册表值
病毒会在注册表中添加一个键值,内容如下
HKEY_LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Run
svchost->c:\windows\system32\svchost.exe
指向的病毒体的路径随拷贝文件位置的不同而不同。
这样使病毒能随Windows启动。
3:获取网上银行的帐号与密码
病毒会不段的寻找IE的窗口,若发现,则取IE窗口的地址信息,
以确定用户在浏览什么网页,一但发现用户在工商银行中的有关页面
(网上银行注册、网上银行登录、网上银行密码修改、网上论坛登录、银行卡登录等),
则从网页中读取用户输入的帐户号码/用户名与密码,并进行了简单的加密,
之后把加密后的信息发送到木马种植者的邮箱(jun****@163.com)中,
使用户网上银行的帐户密码泄漏。因为工商银行的网上转帐/支付功能很多,
木马种植者一但得到了用户的帐号与密码后,可以很快的把用户帐户上的
金钱转走,给用户造成很大的损失。
