“网银大盗Ⅲ”技术分析报告 - 『创意设计』 - 东方娱乐论坛

东方娱乐论坛 → 巨杉文化传媒 -- 分区版主： → 『创意设计』 → “网银大盗Ⅲ”技术分析报告

共有4860人关注过本帖树形打印复制链接主题：“网银大盗Ⅲ”技术分析报告

孤寒绝影

小大 1楼 博客 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC

加好友

发短信

▄︻┻┳═一
等级：蜘蛛侠帖子：1104 积分：29274 威望：0 精华：6 注册：2004-7-19 13:52:44

“网银大盗Ⅲ”技术分析报告 发帖心情

Post By：2004-7-24 9:49:14 [只看该作者]

病毒名称：网银大盗Ⅲ（TrojanSpy.Elelist）病毒类型：木马病毒大小：38400字节传播方式：网络 2004年6月8日，江民反病毒中心率先截获 “网银大盗Ⅲ”木马病毒（TrojanSpy.Elelist）。该木马偷取英国巴克莱等若干国外银行网上银行的帐号和密码，通过电子邮件发送给病毒作者。具体技术特征如下： 1. 病毒运行后，将在用户计算机中创建以下文件： %SystemDir%\mssdk32.dll, 119字节， %SystemDir%\mslib32.dll, 24576字节， %WinDir%\system\user32.exe, 38400字节，

孤寒绝影

小大 2楼 博客 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC

加好友

发短信

▄︻┻┳═一
等级：蜘蛛侠帖子：1104 积分：29274 威望：0 精华：6 注册：2004-7-19 13:52:44

Post By：2004-7-24 9:50:19 [只看该作者]

2. 在注册表的 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建： "User Mansger " = “%WinDir%\system\user32.exe” 或修改 SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell为： “Shell” = “Explorer.exe %WinDir%\system\user32.exe”

孤寒绝影

小大 3楼 博客 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC

加好友

发短信

▄︻┻┳═一
等级：蜘蛛侠帖子：1104 积分：29274 威望：0 精华：6 注册：2004-7-19 13:52:44

给我一个方法！！！！！！！！！！ 发帖心情

Post By：2004-7-24 9:51:15 [只看该作者]

这样，病毒在系统启动时即可运行。 3. 病毒运行后调用mslib32.dll病毒模块，该模块负责设置消息挂钩，并对IE页面控件进行监视，一旦认定用户正在某些国外银行的网页上进行交互操作，就把各种IE控件的有关信息（包括用户名、密码输入框，各种选择框，ComboBox选择列表等）记录到%SystemDir%\msvcdc.dll和%SystemDir%\msvxdexe.dll两个文件中。 4. 病毒主程序每隔1秒检查%SystemDir%\msvcdc.dll和%SystemDir%\msvxdexe.dll是否存在，如果存在，就把这2个文件中的内容通过电子邮件发送给病毒作者11list@mail.ru。