|
本報訊 (記者 王丹丹) 網銀木馬(Trojan/PSW.VShell.a)病毒將于2005年8月1日起發作。該病毒會通過記錄用戶鍵盤輸入,盜取工行個人網上銀行的賬號密碼,并通過網頁腳本,把獲得的非法信息提交給病毒作者。
據江民公司反病毒專家介紹,病毒運行后,會創建kv2005.dll和kvshell2005.dll兩個文件,前者為病毒主功能模塊,后者為病毒啟動模塊。專家提醒,此病毒文件名含有KV2
005字樣,偽裝成殺毒軟件程序,企圖借此來蒙蔽普通電腦用戶,請用戶仔細辨別。
和一般的向注冊表啟動項中添加鍵值的方法不同,新“網銀大盜”用regsvr32.exe注冊kvshell2005.dll為BHO插件,這樣kvshell2005.dll在Windows系統啟動時會被自動加載,它負責調用病毒主要功能模塊kv2005.dll。kv2005.dll被加載后,首先建立互斥體“KvShell_2018”,確保系統中只有一個模塊實例,然后設置窗口鉤子函數。
據悉,如果系統時間晚于2005年8月1日,病毒會查找包括IE、Maxthon、TTraveler、MYIE、Touch-Net、Opera、SmartExplorer、k-meleon、GreenBrowser在內的多種瀏覽器,一旦發現用戶使用其中任一種瀏覽器登錄工行個人網上銀行的界面,則開始記錄用戶的鍵盤輸入。同時,病毒會試圖結束多種國內殺毒軟件的進程,還會利用多種技術手段保護自身進程,使得用戶手工清除病毒十分困難。
針對該病毒,反病毒公司已經在第一時間升級了病毒庫。讀者最好立即升級到7月10日的病毒庫,即可全面查殺該病毒。
| 
