基本介紹
- 中文名:Trojan/KeyLog.Dingxa
- 病毒類型:木馬
- 病毒大小:16284位元組
- 傳播方式:網路
基本信息,技術特徵,
基本信息
網銀大盜Ⅱ(Trojan/KeyLog.Dingxa)
壓縮方式:ASpack
技術特徵
1. 病毒運行後,盜取的網上銀行涉及:
銀聯支付網關-->執行支付
銀聯支付網關:
中國工商銀行新一代網上銀行
中國工商銀行網上銀行:
工商銀行網上支付:
申請牡丹信用卡
招商銀行個人銀行
招商銀行一網通:
個人網上銀行
中國建設銀行網上銀行
登入個人網上銀行;;
中國建設銀行
中國建設銀行網上銀行:
交通銀行網上銀行
交通銀行網上銀行:
深圳發展銀行帳戶查詢系統
深圳發展銀行|個人銀行
深圳發展銀行 | 個人用戶申請表
深圳發展銀行:
民生網個人普通版
民生銀行:
網上銀行--個人普通業務
華夏銀行:
上海銀行企業網上銀行
上海銀行:
首都電子商城商戶管理平台
首都電子商城商戶管理:
中國線上支付網: :IPAY網上支付中心
中國線上支付網商戶:
招商銀行網上支付中心
招商銀行網上支付:
個人網上銀行-網上支付
2. 病毒算機中創建以下檔案:
%SystemDir%\svch0st.exe,16284位元組,病毒本身
3. 在註冊表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run中創建:
“svch0st.exe” = “%SystemDir%\svch0st.exe”
“taskmgr.exe” = “%SystemDir%\svch0st.exe”
4. 病毒運行後會根據IE視窗標題欄判斷是否為網上銀行頁面,如果發現上述提到的銀行後,病毒立即開始記錄鍵盤敲擊的每一個鍵值,記錄鍵值包括:
AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz1
!2@3#4$5%6^7&8*9(0)
{BackSpace}
{Tab}
{回車}
{Shift}
{Ctrl}
{Alt}
{Pause}
{Esc}
{空格}
{End}
{Home}
{Left}
{Right}
{Up}
{Down}
{Insert}
{Delete}
;:=+,<-_.>/?`~][{\|]}'
{Del}
{F1}
{F2}
{F3}
{F4}
{F5}
{F6}
{F7}
{F8}
{F9}
{F10}
{F11}
{F12}
{NumLock}
{ScrollLock}
{PrintScreen}
{PageUp}
{PageDown}
5. 病毒截取到鍵盤值後,會形成信息發到指定http://*****.com/****/get.asp。其信息如下:
http://*****.com/****/get.asp?txt=××銀行:<截獲的按鍵>
6.病毒開啟3個定時器,每隔幾秒鐘搜尋用戶的IE視窗,如果發現用戶正在使用上述銀行的“個人網上銀行”的登入界面,則嘗試記錄用戶鍵入的所有鍵值,然後把竊取到的信息通過get方式傳送到指定的伺服器。
