TrojanSpy.Banker.s病毒技术报告

  病毒名称：TrojanSpy.Banker.s

　　病毒类型：木马

　　病毒大小：61440字节

　　传播方式：网络

　　危害等级：★★★

　　9月1日，江民公司反病毒中心再次截获“网银大盗”最新变种TrojanSpy.Banker.s。该病毒伪装成解码器安装程序，通过键盘记录等办法尝试盗取用户某银行账号信息，还会下载邮件地址搜索模块和发信模块，因而可以通过发送电子邮件的方式传播诱惑性Email，引诱更多用户下载病毒。

　　具体技术特征如下：

　　1. 病毒运行后，显示下面的对话框，

　　并生成若干自身的复本文件：

　　%SystemDir%\exp1orer.exe, 61440字节

　　%SystemDir%\notepid.exe, 61440字节

　　%SystemDir%\rund1132.exe, 61440字节

　　%SystemDir%\rundl132.exe, 61440字节

　　c:\program files\internet explorer\iexplore.exe.hid, 61440字节

　　2. 添加下列注册表启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run]"TaskBellExe" = %SystemDir%\rund1132.exe

　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Windows]"Run" = %SystemDir%\rundl132.exe

　　这样，在Windows启动时，病毒就可以自动执行。

　　3. 会把下列类型文件与病毒程序关联：

　　.txt .exe .com .bat .pif

　　4. 通过标题栏是否包含“银行”，“bank”，“BANK”等字串定位要盗取信息的目标窗口。

　　5. 针对招商银行网页，企图盗取下列信息：

　　4.0主登陆用户名

　　4.2主登陆用户名

　　用户信息

　　证书恢复信息

　　6. 尝试连接下载下列文件：

　　http://chinaweb.****.zgsj.com/soft/search.txt

　　http://chinaweb.****.zgsj.com/soft/mswinsck.txt

　　http://chinaweb.****.zgsj.com/news.txt

　　http://chinaweb.****.zgsj.com/soft/sendmail.txt

　　7. 下载成功后，将利用下载的程序模块在用户计算机上搜索电子邮件地址，并发送诱使用户下载该病毒的邮件进行传播。发信模块将避免向含有下列字串的邮件地址发信：

　　MICROSOFT

　　rising

　　jiangmin

　　kingsoft

　　symantec

　　Norton

　　邮件特征如下：

　　发信人：伪造

　　标题：快来看看我的偷拍作品

　　正文：

　　朋友:
　　你好!
　　我是某五星级酒店的经理,同时我也是一名专拍社会丑恶现象的偷拍爱好者,近年来我在酒店一些高档客房偷偷装上摄像头,偷拍了两百多部作品......"中国丑恶现象偷拍网"网址:http://chinaweb.****.zgsj.com/index.htm,欢迎访问,希望能得到大家的支持,本网站系公益性网站,无任何广告,偷拍影片全部采用asx格式压缩,如果您的系统没有安装解码器,可以在本站在线安装或下载安装即可观赏本人的作品.

　　（注：病毒网址****为隐去部分，邮件正文也有省略）