|
本報(bào)訊 (記者 王丹丹) 網(wǎng)銀木馬(Trojan/PSW.VShell.a)病毒將于2005年8月1日起發(fā)作。該病毒會(huì)通過(guò)記錄用戶(hù)鍵盤(pán)輸入,盜取工行個(gè)人網(wǎng)上銀行的賬號(hào)密碼,并通過(guò)網(wǎng)頁(yè)腳本,把獲得的非法信息提交給病毒作者。
據(jù)江民公司反病毒專(zhuān)家介紹,病毒運(yùn)行后,會(huì)創(chuàng)建kv2005.dll和kvshell2005.dll兩個(gè)文件,前者為病毒主功能模塊,后者為病毒啟動(dòng)模塊。專(zhuān)家提醒,此病毒文件名含有KV2
005字樣,偽裝成殺毒軟件程序,企圖借此來(lái)蒙蔽普通電腦用戶(hù),請(qǐng)用戶(hù)仔細(xì)辨別。
和一般的向注冊(cè)表啟動(dòng)項(xiàng)中添加鍵值的方法不同,新“網(wǎng)銀大盜”用regsvr32.exe注冊(cè)kvshell2005.dll為BHO插件,這樣kvshell2005.dll在Windows系統(tǒng)啟動(dòng)時(shí)會(huì)被自動(dòng)加載,它負(fù)責(zé)調(diào)用病毒主要功能模塊kv2005.dll。kv2005.dll被加載后,首先建立互斥體“KvShell_2018”,確保系統(tǒng)中只有一個(gè)模塊實(shí)例,然后設(shè)置窗口鉤子函數(shù)。
據(jù)悉,如果系統(tǒng)時(shí)間晚于2005年8月1日,病毒會(huì)查找包括IE、Maxthon、TTraveler、MYIE、Touch-Net、Opera、SmartExplorer、k-meleon、GreenBrowser在內(nèi)的多種瀏覽器,一旦發(fā)現(xiàn)用戶(hù)使用其中任一種瀏覽器登錄工行個(gè)人網(wǎng)上銀行的界面,則開(kāi)始記錄用戶(hù)的鍵盤(pán)輸入。同時(shí),病毒會(huì)試圖結(jié)束多種國(guó)內(nèi)殺毒軟件的進(jìn)程,還會(huì)利用多種技術(shù)手段保護(hù)自身進(jìn)程,使得用戶(hù)手工清除病毒十分困難。
針對(duì)該病毒,反病毒公司已經(jīng)在第一時(shí)間升級(jí)了病毒庫(kù)。讀者最好立即升級(jí)到7月10日的病毒庫(kù),即可全面查殺該病毒。
| 
