Trojan-Spy.Win32.Banker.vt 病毒标签:
病毒名称: Trojan-Spy.Win32.Banker.vt
病毒类型: 木马
文件MD5: 5A82417B6C09542CCF51418BD8837961
公开范围: 完全公开
危害等级: 中
文件长度: 65,536 字节
感染系统: Windows 98 及以上版本
开发工具: Microsoft Visual C++ 6.0
命名对照: Symentec[无]
Mcafee[无]
病毒描述:
该病毒属木马类,病毒运行后复制原病毒副本到%SystemDrive%\system.exe下,该病毒主要以窃取银行帐户及密码为主要目的,该病毒运行后会创建一个互斥体,以防止多个副本同时运行。病毒运行后便会监视用户的IE浏览器,当用户访问了以下这些网站,病毒便会记录登陆的帐号及密码,而后发给病毒作者。该病毒对用户有一定危害。
行为分析:
1、病毒运行后复制原病毒副本到:%SystemDrive%\system.exe
2、修改注册表文件,达到随系统启动的目的:
HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run\system.exe
键值: 字串: "%SystemDrive%\system.exe"
3、创建互斥体,防止该病毒的多个副本同时运行。
4、当用户访问以下网站时,病毒便会纪录登录的帐号和密码
direct.resonabank.co.jp
direct.btm.co.jp
direct02.btm.co.jp
directa03.shinseibank.co.jp
direct3.smbc.co.jp
direct.smbc.co.jp
direct.hokugin.co.jp
web.ib.mizuhobank.co.jp
web1.ib.mizuhobank.co.jp
web2.ib.mizuhobank.co.jp
web3.ib.mizuhobank.co.jp
web4.ib.mizuhobank.co.jp
web5.ib.mizuhobank.co.jp
www10a.cyber-biz.ne.jp
www10b.cyber-biz.ne.jp
www10c.cyber-biz.ne.jp
www-ihs.yu-cho.japanpost.jp
ufjbank.co.jpufjbank.co.jp
resonabank.anser.or.jpresonabank.anser.or.jp
suitebank.finemax.netsuitebank.finemax.net
www2.ib-center.gr.jp
www4.cyber-biz.ne.jp
www4a.cyber-biz.ne.jp
www7.cyber-biz.ne.jp
www8b.cyber-biz.ne.jp
www9a.cyber-biz.ne.jp
www9b.cyber-biz.ne.jp
www9c.cyber-biz.ne.jp
www9d.cyber-biz.ne.jp
www10d.cyber-biz.ne.jp
www11a.cyber-biz.ne.jp
……
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件:%SystemDrive%\system.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-
500\Software\Microsoft\Windows\CurrentVersion\Run\system.exe
键值: 字串: "%SystemDrive%\system.exe"
