国家计算机病毒应急处理中心通过对互联网的监测发现某证券网站点上提供的多款证券交易软件的安装程序中捆绑了木马程序。用户在该证券 网下载这些安装程序后,运行的同时会下载网银木马,并且威胁某银行网上银行用户的帐号密码安全。
该木马为前些时候发现的网银木马TrojSpy_Banker.YY的新变种,它会监视受感染计算机系统中IE浏览器正在访问的网页,如果发现用户正在登录 某银行个人网上银行页面,就会弹出伪造的登录对话框,诱骗用户输入登录密码和支付密码,通过邮件将窃取到的信息发送出去。
病毒名称:TrojSpy_Banker.ZQ
病毒类型:木马程序
其它命名:TrojanSpy.PSW.Banker.zq(江民) Trojan.Spy.BankCN.h(瑞星)
具体技术特征如下:
1、登陆到该证券网的软件下载页面,可以看到多款证券交易软件下载列表,如下图一:
图一
2、多个软件的安装程序捆绑了木马newup.exe。newup.exe大小2560字节,运行后将自
动下载执行该网站中的网银木马svchost.exe。
3、网银木马svchost.exe的大小137728字节,由VB语言编写。运行后会在注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加
“svchost”= “C:\DOCUME~1\a\LOCALS~1\Temp\RarSFX0\svchost.exe”这样每次
系统启动,木马程序都会自动运行。
4、木马可以监视IE浏览器访问的页面,如果发现用户登录某银行网上个人银行页面,那
么就会弹出伪造的IE窗口(如图二所示),诱骗用户输入登录密码和支付密码。
图二
图三
注:图三为该行网上银行个人银行真实页面,请用户注意两页面的对比,谨防受骗上当。
用户输入信息提交后,就会显示以下内容“为了给您提供更加优良的电子银行服务,6月25日我行对电子银行系统进行了升级。请您务必修改以上信息!”,诱骗用户再次输入登录密码和支付密码。
5、木马会将窃取到的信息通过邮件发送到指定邮件地址
处置方法:
1、手工解决方法
(1)在注册表启动项中删除以下键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
“svchost”= “%C:\DOCUME~1\a\LOCALS~1\Temp\RarSFX0\svchost.exe” | (2)搜索硬盘中svchost.exe文件,并删除。
2、 专杀工具清除
目前,北京江民公司、北京瑞星科技股份有限公司已经能够检测、清除该木马程序,广大计算机用户可以上网下载该木马的专杀工具。 |
