当前位置: 
8月1日,来自西班牙的内部消息,阿根廷政府已经因为一起数百万美元的在线银行欺诈案,逮捕了多达15名犯罪嫌疑人,其中包括一名西班牙国际公民。无独有偶,由江民反病毒中心7月10日截获的网银木马“新网银大盗”病毒(Trojan/PSW.VShell.a)今日起开始发作。根据江民反病毒专家的分析,该病毒以系统日期8月1日为触发机制,病毒发作后,通过记录用户键盘输入盗取个人网上银行的帐号密码。
据了解,该病毒是江民公司继去年截获数个“网银大盗”病毒后出现的又一新变种。去年发作的“网银大盗”病毒传播者在被捕前已经成功盗取资金4.8万元。
江民反病毒专家介绍,该病毒运行后,会创建病毒主功能模块%SystemDir%\kv2005.dll和病毒启动模块%SystemDir%\kvshell2005.dll。和一般的向注册表启动项中添加键值的方法不同,该病毒特别恶毒,用regsvr32.exe注册kvshell2005.dll为BHO插件,继而负责调用病毒主要功能模块kvshell2005.dll在Windows系统启动时就会被自动加载,进而建立互斥体"KvShell_2018",设置窗口钩子函数。该病毒还通过检测调试器、重写SetWindowsHookEx API函数等方法对自身进行保护。
如果系统时间晚于2005年8月1日,病毒会查找包括IE在内的多种浏览器,如:Maxthon 、TTraveler (腾讯)、MYIE 、TouchNet 、Opera 、SmartExplorer 等。一旦发现用户正在工行个人网上银行的登录界面,该病毒则开始记录用户的键盘输入。如果卡号长度为19个字符,并以"95588"开头时,病毒就将会记录下的卡号、密码和验证数字等信息加密后提交给http://bbs.8189123.com/。目前该地址定向到http://www.dygyzc.com/admin/2005.asp。另外,如果系统时间晚于2005年8月1日,病毒会试图结束多种国内杀毒软件的进程。
针对该病毒,江民公司再次提醒广大网银用户,立即升级杀毒软件到7月10日病毒库,开启病毒实时监控,防范病毒于系统之外。此外,江民杀毒软件KV2005新增未知病毒主动防御系统,可有效防范100%的木马病毒和98%以上的未知病毒,开启"木马/注册表"监视,运行木马一扫光和未知病毒检测,即可全面防范该病毒新变种,更好地保护用户网上银行资金安全。
-
没有评论
