TrojanSpy.Banker.r

TrojanSpy.Banker.r

病毒长度：123,904 字节

病毒类型：木马

危害等级：*

影响平台：Win9X/2000/XP/NT/Me

TrojanSpy.Banker.r是一个盗取在线银行帐号及密码的木马程序，并允许攻击者在未经授权的情况下随意访问感染的计算机。

传播过程及特征：

1.复制自身为：

%System%Load32.exe

%Startup%Rundllw.exe

%Windir%Dllreg.exe

%System%Vxdmgr32.exe

2.修改注册表：

/在注册表启动项添加键值，以便木马随系统启动时运行

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "load32"="%System%load32.exe"

/可能创建子键：

HKEY_LOCAL_MACHINESOFTWARESARS

3.在系统安装目录下生成.dll文件截获键击记录，常用的文件名为：

sock32.dll ，sock55.dll，sock64.dll

4.Windows 95/98/Me

修改Win.ini文件

[windows]项：run=%Windir%dllreg.exe

修改System.ini文件

[boot]项：shell=explorer.exe %System%vxdmgr32.exe

Windows NT/2000/XP

修改注册表：HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon

下的键值为："shell" = "explore.exe%Windir%system32vxdmgr32.exe"

5.对于包含有下列字符串的窗口，木马将记录所有的键击并存储为一个日志文件，一般文件名为%Windir%vxdload.txt 或 %Windir%bank.log

6.运行一个线程用来监测粘贴板，并将这些信息保存到%Windir%rundllx.sys；如果登陆的页面是Barclays Bank(英国巴克莱银行)，则木马会尝试摄屏并将图片存储为%windir%ank1.bmp 和 windir%ank2.bmp

7.周期性的检查日志文件的长度，如果到达一定的长度将被发送到指定的邮件地址，发送的信息还包含一些系统信息(如IP地址)。

注：%Windir%为变量，一般为C:Windows 或 C:Winnt；

%Startup%是指Windows 的启动目录；

%System%为变量，一般为C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000),

或 C:WindowsSystem32 (Windows XP)。