揭開網銀木馬的面紗
51CTO推薦:木馬原理與防范
國家計算機病毒應急處理中心通過對互聯網的監測發現一個惡意誘騙用戶暴露銀行個人銀行帳號密碼的網銀木馬TrojSpy_Banker.YY。該網銀木馬會監視IE瀏覽器正在訪問的網頁,如果發現用戶正在登錄工行個人銀行,就會彈出偽造的登錄對話框,誘騙用戶輸入登錄密碼和支付密碼,通過郵件將竊取的信息發送出去。
一、網銀木馬TrojSpy_Banker.YY的介紹:
1、病毒名稱:TrojSpy_Banker.YY
2、病毒類型:木馬程序
3、其它命名:
◆Win32.Troj.Banker.ic.118018(金山)
◆TrojanSpy.Banker.yy(江民)
◆TSPY_BANCOS.BIR(趨勢)
二、網銀木馬TrojSpy_Banker.YY的具體技術特征如下:
1、木馬大小110KB~120KB左右,由VB語言編寫。
- //運行后會在注冊表啟動項
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
- CurrentVersion\Run
- //下添加:
- “svchost”= “%SystemDir%\svchost.exe”
這樣每次系統啟動,木馬程序都會自動運行。
2、監視IE瀏覽器訪問的頁面,如果發現用戶登錄該行網上銀行個人銀行頁面就會彈出偽造的IE窗口(如圖一所示),誘騙用戶輸入登錄密碼和支付密碼。
圖一偽造的IE窗口
圖二正常的網站網頁
請用戶注意以上兩頁面的對比,謹防受騙上當。
用戶輸入信息提交后,就會顯示以下內容“為了給您提供更加優良的電子銀行服務,6月25日我行對電子銀行系統進行了升級。請您務必修改以上信息!”,誘騙用戶再次輸入登錄密碼和支付密碼。
3、木馬會將竊取到的信息通過郵件發送到指定郵件地址
三、網銀木馬TrojSpy_Banker.YY的手工解決方法:
1、在注冊表啟動項中刪除以下鍵值
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
- CurrentVersion\Run
- //下:
- “svchost”=“%SystemDir%\svchost.exe”
2、搜索硬盤中svchost.exe文件,并刪除。
關于網銀木馬TrojSpy_Banker.YY的的基本情況就向你介紹到這里,希望通過網銀木馬TrojSpy_Banker.YY的了解使你對網銀木馬的防范有所認識。
【編輯推薦】
