TrojanSpy.Banker.r是一個盜取線上銀行帳號及密碼的木馬程式,並允許攻擊者在未經授權的情況下隨意訪問感染的計算機。
基本介紹
- 外文名:TrojanSpy.Banker.r
- 病毒長度:123,904 位元組
- 病毒類型:木馬
- 影響平台:Win9X/2000/XP/NT/Me
簡介,傳播過程及特徵,
簡介
TrojanSpy.Banker.r
病毒長度:123,904 位元組
病毒類型:木馬
危害等級:*
影響平台:Win9X/2000/XP/NT/Me
傳播過程及特徵
1.複製自身為:
%System%\Load32.exe
%Startup%\Rundllw.exe
%Windir%\Dllreg.exe
%System%\Vxdmgr32.exe
2.修改註冊表:
/在註冊表啟動項添加鍵值,以便木馬隨系統啟動時運行
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load32"="%System%\load32.exe"
/可能創建子鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\SARS
3.在系統安裝目錄下生成.dll檔案截獲鍵擊記錄,常用的檔案名稱為:
sock32.dll ,sock55.dll,sock64.dll
4.Windows 95/98/Me
修改Win.ini檔案
[windows]項:run=%Windir%\dllreg.exe
修改System.ini檔案
[boot]項:shell=explorer.exe %System%\vxdmgr32.exe
Windows NT/2000/XP
修改註冊表:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
下的鍵值為:"shell" = "explore.exe%Windir%\system32\vxdmgr32.exe"
5.對於包含有下列字元串的視窗,木馬將記錄所有的鍵擊並存儲為一個日誌檔案,一般檔案名稱為%Windir%vxdload.txt 或 %Windir%bank.log
6.運行一個執行緒用來監測貼上板,並將這些信息保存到%Windir%rundllx.sys;如果登入的頁面是Barclays Bank(英國巴克萊銀行),則木馬會嘗試攝屏並將圖片存儲為%windir%\bank1.bmp 和 windir%\bank2.bmp
7.周期性的檢查日誌檔案的長度,如果到達一定的長度將被傳送到指定的郵件地址,傳送的信息還包含一些系統信息(如IP位址)。
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%Startup%是指Windows 的啟動目錄;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。
