新网银大盗

7月份被江民科技反病毒中心率先截获的"新网银大盗"病毒作来自者刘某已经被捕。

• 中文名称 新网银大盗
• 病毒名称 Trojan/PSW.VShell.a
• 病毒类型 木马
• 危害程度 3星
• 传播方式 网络

简介

　　病毒垂长值风然三止短名称:Trojan/PSW.VShell.a

　　中文名称:新来自网银大盗

　　病毒类型:木马

　　病毒大小:94208字节

　　传播方式:网络

　　危害程度:★★★

　　2005年7月10日，江民反病毒中心再次截获一个网银木马(Trojan/PSW.VShell.a360百科)。该病毒2005年8月1日起发作，记录用户键盘输入，盗取工行个人网上银行的帐号密码，通过试酒装队网页脚本把获得的非法信息提交给病毒作者。

　　病毒具体技术特征如下:

　　1. 病毒运行后，创建下列文件:

　　%SystemDir%\kv2005.dll，60928字节，病毒主功能模块

　　%SystemDir%\kvshell2005.dll，24576字节，病毒启动希教守亮支依料希逐技校模块

　　2. 和一般的向注册表启动项中添加键值的方法不同，该病毒用regsvr32.exe注册kvshell2005.dll为BHO插件，这样kvshell2005.dll在Windows系统启动时会被自动加载，它负责调用病毒主要功能模块kv2005.dll。

　　3. kv2005.dll被加载后，首先建立互斥体"KvShell_2018"，确保系统中只有一个模块实例，然包杨起态后设置窗口钩子函数。

　　4. 如果系统时间晚于2005年8月1日，病毒会查厂含假绝责位前湖伟司找包括IE在内的多种浏览器，他们是:

　　Ma起xthon

　　TT各游项破害通初场田raveler (腾讯)

　　MYIE

　　TouchNet

　　Opera

　　SmartExplorer

　　k-meleon

　　GreenBrowser

两岩　　一旦发现用户正在工行个人网上银行的登录界面，则开始记录用搞德户的键盘输入。如果卡号长度置行为19个字符，并以"95588"开头时，病毒就将会记录下的卡号、密码和验证数字等信息加密后提交给http://bbs.******.com/。该地址定向到http://www.***.com/admin/2005汉扩跳院圆致.asp。

　　5. 如果系统时间晚于2005年8月1日，病毒会试图结束多种国内杀毒软件的进程。

　　6. 病毒通过检测调试器、重写SetWindowsHookEx API函数等方法对自身进行保护。

新网饭胜货银大盗作者被捕

　　7月份被江民科技反病毒中心率先截获的"新网银大盗"病毒作者刘某已经被捕。犯罪嫌疑人刘某系厦门市某中专校在校生，被捕时年仅16岁。他通过攻陷网站种植木马的形式，盗窃某银行网上银行用户密码账号，然后通过多次转账的形式提取现金。截至案发时，刘某已经窃取现金达62望族片村套投那织响没目500余元。

提酸息修为止醒

　　针对网上银行频频发生的木马窃密案件，制矿及江民反病毒专家再次提醒广大网上银行用户，在使用网上银行时，务必安装防火墙或杀毒软件，及时升级杀毒软件，开启病毒实时监控。此外，用户应养成定期更改登陆密码，尽量在固定场所、固定电脑上登录银行网站，退出网银页面后要及时清理登录网银的上网历史记录等安全习惯。