国内资深黑客详谈Trojan-PSW盗号木马
2008-04-09 17:12
作者:子明
来源:51CTO
[摘要] 近日在QQ上广泛传播地一段回答问题得到q币中奖消息中所包含的恶意链接,访问该链接将导致用户电脑感染多种木马程序,经过仔细分析这些木马几乎都归于一类——Trojan-PSW木马。
具体技术特征如下:
(1)病毒运行后,盗取的网上银行涉及:
银联支付网关-->执行支付
银联支付网关
中国工商银行新一代网上银行
中国工商银行网上银行
工商银行网上支付
申请牡丹信用卡
招商银行个人银行
招商银行一网通
个人网上银行
中国建设银行网上银行
登陆个人网上银行
中国建设银行
中国建设银行网上银行
交通银行网上银行
交通银行网上银行
深圳发展银行帐户查询系统
深圳发展银行 个人银行
深圳发展银行 个人用户申请表
深圳发展银行:
民生网个人普通版
民生银行
网上银行--个人普通业务
华夏银行
上海银行企业网上银行
上海银行
首都电子商城商户管理平台
首都电子商城商户管理:
中国在线支付网: :IPAY网上支付中心
中国在线支付网商户
招商银行网上支付中心
招商银行网上支付
个人网上银行-网上支付
(2)病毒算机中创建以下文件:
%SystemDir%\svch0st.exe,16284字节,病毒本身
(3)在注册表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run中创建:
“svch0st.exe”=“%SystemDir%\svch0st.exe”
“taskmgr.exe”=“%SystemDir%\svch0st.exe”
