国家计算机病毒应急处理中心通过监测,发现"网银大盗"新变种"网银大盗Ⅱ"(Troj_Dingxa.A)。该变种与有"网银大盗"有很多相似之处,但其涉及到的银行已经从"网银大盗"的一家扩展到十几家银行的多种网上交易业务,几乎涵盖了目前国内所有的个人网上银行,其涉猎范围之广,在国内尚属首例。
病毒会截获被感染计算机上的键盘输入,盗取一些个人信息,包括网上银行的帐号、密码、验证码等,并将窃取到的信息发送给病毒作者。
家计算机病毒应急处理中心提醒广大用户及时升级杀毒软件和防火墙,启动"实施监控"功能。并根据病毒的技术特点,设置防火墙和边界路由器的规则,抵御病毒入侵。
有关该病毒的详细报告如下:
病毒名称:"网银大盗Ⅱ"(Troj_Dingxa.A)
病毒类型:木马
感染系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
病毒长度:16,284字节
传播方式:网络
1、生成病毒文件
病毒运行后在系统文件夹%System%下创建自身的副本,文件名称为svch0st.exe。
(其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)
2、修改注册表
病毒修改注册表,以达到随系统启动而自动运行的目的,在 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下创建:
"svch0st.exe" = "%System%\svch0st.exe" "taskmgr.exe" = "%System%\svch0st.exe"
3、窃取个人网上银行信息
病毒运行后检查IE窗口标题栏,判定当前窗口是否为网上银行的登陆页面,涉及到国内多家银行的网上交易系统。一旦发现当前IE窗口为上述银行的登陆页面,病毒立即开始记录键盘输入的所有键值,记录的键值几乎包括了所有可能的键盘录入。窃取的用户信息包括网上银行的帐号、密码、验证码等。
4、发送窃取信息到指定地址
病毒截获被感染计算机所输入的键盘值后,将其窃取到的信息发送到指定的地址。
处理该病毒的相关建议:
1、终止病毒进程
在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择"任务管理器--〉进程",选中正在运行的进程"svch0st.exe",并终止其运行。
2、注册表的恢复
点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的"svch0st.exe" = "%System%\svch0st.exe"和 "taskmgr.exe" = "%System%\svch0st.exe"
3、删除病毒释放的文件
点击"开始--〉查找--〉文件和文件夹",查找文件"svch0st.exe",并将找到的文件删除。
4、配置防火墙和边界路由器
根据病毒的技术特点,设置防火墙和边界路由器的规则,阻断病毒的入侵。