trojan/psw.soufan

病毒类型：特洛依木马

病毒大小：201216字节

危害等级：★★★

2004年11月25日，江民反病毒中心截获Trojan/PSW.Soufan特洛依木马病毒。该木马可以盗 取多家证券交易系统的交易帐户和密码。

具体技术特征如下：

1.病毒运行后，将创建自身复本于：

%WinDir%SYSTEM32.EXE, 201216字节

2.在注册表中添加下列启动项：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"System"=%WinDir%SYSTEM32.EXE

3.木马运行时寻找一些包含著名券商名称的窗口标题，如果发现就开始启动键盘钩子对用户登陆信息进行记录，包括用户名和密码。

4.在记录键盘信息的同时，通过屏幕快照将用户登陆时窗口画面保存为图片，存放于：

c:Screen1.bmp

c:Screen2.bmp

5.当记录指定次数后，将3，4中记录的信息和图片通过电子邮件发送到webmaster@****.com。

6.发送成功后，病毒进行自杀，将自身删除，但4中生成的.bmp图片并未被删除。

11月25日，江民反病毒中心率先截获“证券大盗”病毒，该病毒能盗取多家网上证券交易系统的用户密码和账号，被盗的股民存在账户股票被黑客恶意操纵的可能。

其实，安装杀毒软件升级到最新病毒库，打开病毒实时监控并正确设置杀毒软件的隐私保护功能，就可以有效防范证券大盗。以目前市面上最新版本的杀毒软件江民杀毒软件KV2005为例，四步保护网上证券交易安全无忧。

1、打开KV2005界面，把“实时监控”一项中的“隐私保护监视”打上勾。

2、 选择“工具”——〉“设置”，点击“实时监控”。

3、 点开“隐私保护设置”，弹出“隐私信息设置”窗口，在“检测到秘密信息后处理方式”中可以看到三个选项，“禁止发送私密信息”、“询问是否发送私密信息”、“允许发送私密信息”。选择“禁止发送私密信息”或“询问是否发送私密信息”。

（注：如果选择了“禁止发送私密信息”那么所有隐私将被禁止发送，没有任何提示信息。如果选择了“询问是否发送私密信息”，那么在发送自己隐私之前，它会弹出对话框询问是否发送。同样，如果选的是“允许发送私密信息”，那么您的隐私将没有任何提示的发送出去。）

4、选择完处理方式后，单击“增加”按钮，选择要保护的信息类型，也可以自定义，这里自定义为证券号码，然后填入自己的股票网上交易账号和密码，按“确定”，这样你的网上交易的股票账号和密码就能得到有效的保护，也不用担心证券大盗偷走你的股票交易账号和密码了。

（提示：为了更好地保证你的股票账号安全，设置时不一定要输入完整的信息，只要按软件要求的字符数输入一部分关键数字就可以了。）