Win32.Troj.Banker.aq

病毒别名：

处理时间：

威胁级别：★

中文名称：

病毒类型：木马

影响系统：Windows 2000, Windows 95, Windows 98, Windows Me,

病毒行为:

编写工具:

delphi编写，upx压缩

传染条件:

该木马利用了http://207.46.249.252/technet/security/bulletin/ms04-0mspx Microsoft Internet Explorer ITS Protocol Zone Bypass Vulnerability漏洞

发作条件:

这是一个偷取银行帐号密码的木马，当用户访问特定页面时，该木马就会记录用户的键盘记录并将记录的结果通过Email发送给攻击者。

系统修改:

1，拷贝自身到

%System%Wmiprvse.exe

%System%Ntsvc.exe

%Windir%Userlogon.exe

2，建立%System%Rsasec.dll文件，为一个键盘记录所用的Dll程序

3，建立%System%

sacb.dll，实质为一个text文件，用来记录监听的结果。

4，向注册表添加：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

"wmiprvse.exe"="%system%wmiprvse.exe"

5，当操作系统为：NT/2000/XP

添加：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows

"Run" = "%Windir%userlogon.exe"

当操作系统为：95/98/Me

在Win.ini添加：

run=%Windir%userlogon.exe，同时修改注册表：

shell=explorer.exe %system%

tsvc.exe

6，当用户访问

National Australia Bank

ANZ Internet Banking - Logon

National Internet Banking

Citibank Australia

Welcome to Citi

Welcome to Citibank

Citi - Sign On

Bank of China

online@hsbc

HSBC in Hong Kong

Banesto

Sabadell

或者这些

https:/ /olb.westpac.com.au/ib/asp/

https:/ /olb.westpac.com.au/ib/

链接时将记录用户的击键记录。

7，利用自己的smtp发信到xxx@mail.ru信箱。

发作现象:

该木马运行后，用户会在%Windir%发现以下几个文件：

Wmiprvse.exe

Ntsvc.exe

Userlogon.exe

rsacb.dll

用记事本打开rsacb.dll文件后会发现是一些自己以前敲击键盘的记录。

特别说明: