国家计算机病毒应急处理中心通过监测,发现"网银大盗"新变种"网银大盗Ⅱ"(Troj_Dingxa.A)。该变种与有"网银大盗"有很多相似之处,但其涉及到的银行已经从"网银大盗"的一家扩展到十几家银行的多种网上交易业务,几乎涵盖了目前国内所有的个人网上银行,其涉猎范围之广,在国内尚属首例。
病毒会截获被感染计算机上的键盘输入,盗取一些个人信息,包括网上银行的帐号、密码、验证码等,并将窃取到的信息发送给病毒作者。
国家计算机病毒应急处理中心提醒广大用户及时升级杀毒软件和防火墙,启动"实施监控"功能。并根据病毒的技术特点,设置防火墙和边界路由器的规则,抵御病毒入侵。
有关该病毒的技术报告如下:
病毒名称:"网银大盗Ⅱ"(Troj_Dingxa.A)
病毒类型:木马
感染系统:Win9x/WinMe/WinNT/Win2000
/WinXP/Win2003
病毒长度:16,284字节
传播方式:网络
1、生成病毒文件
病毒运行后在系统文件夹%System%下创建自身的副本,文件名称为svch0st.exe。
(其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)
2、修改注册表
病毒修改注册表,以达到随系统启动而自动运行的目的,在
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下创建:
"svch0st.exe" = "%System%\svch0st.exe"
"taskmgr.exe" = "%System%\svch0st.exe"
3、窃取个人网上银行信息
病毒运行后检查IE窗口标题栏,判定当前窗口是否为网上银行的登陆页面,涉及到国内多家银行的网上交易系统。一旦发现当前IE窗口为上述银行的登陆页面,病毒立即开始记录键盘输入的所有键值,记录的键值几乎包括了所有可能的键盘录入。窃取的用户信息包括网上银行的帐号、密码、验证码等。
4、发送窃取信息到指定地址
病毒截获被感染计算机所输入的键盘值后,将其窃取到的信息发送到指定的地址。
处理该病毒的相关建议:
1、终止病毒进程
在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择"任务管理器--〉进程",选中正在运行的进程"svch0st.exe",并终止其运行。
2、注册表的恢复
点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的"svch0st.exe" = "%System%\svch0st.exe"和
"taskmgr.exe" = "%System%\svch0st.exe"
3、删除病毒释放的文件
点击"开始--〉查找--〉文件和文件夹",查找文件"svch0st.exe",并将找到的文件删除。
4、配置防火墙和边界路由器
根据病毒的技术特点,设置防火墙和边界路由器的规则,阻断病毒的入侵。
本周发作:
病毒名称:"求职信"变种(Worm_Klez.C)
病毒类型:电子邮件蠕虫病毒
发作日期:6月13日
危害程度:病毒向外发送带毒邮件,终止反病毒软件的运行,并在13日用垃圾数据覆盖电脑中的有效数据。
病毒名称:W97m_Class.EM
病毒类型:宏病毒
发作日期:6月14日
危害程度:感染Word的通用模板文件normal.dot,并通过mIRC在互联网上进行传播,14日病毒会弹出对话框"I think <用户名>is a big stupid jerk."
专家提醒:
1、 最好不要使用免费下载的软件,如果下载要到正规的大型网站,并且在安装使用前确认所下载的软件无毒。
2、 计算机一旦遭受病毒感染应首先断开网络(包括互联网和局域网),再进行病毒的检测和清除,避免病毒在更大范围内传播,造成更严重的危害。
3、 对系统和重要数据做好备份,而且在本机备份外,最好同时做异地备份,如备份在其它机器、光盘或移动硬盘上,确保备份的安全性。
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网 址:Http://www.antivirus-China.org.cn
电 话:022-66211488/66211489/66211490 转 8017
传 真:022-66211487
电子邮件:sos@antivirus-China.org.cn
security@tj.cnuninet.net