“网银大盗Ⅱ”技术分析报告

病毒名称：网银大盗Ⅱ（Trojan/KeyLog.Dingxa）
　　病毒类型：木马
　　病毒大小：16284字节
　　传播方式：网络
　　压缩方式：ASpack

　　2004年6月2日晚，又截获“网银大盗”新变种，该木马盗取几乎涵盖中国目前所有个人网上银行的帐号、密码、验证码等等，发送给病毒作者。此木马与4月分截获网银大盗（Trojan/PSW.HidWebmon）有异曲同工之处，但涉及银行之多，范围之广是历来最大的，不但给染毒用户造成的损失更大，更直接，也给各网上银行造成更大的安全威胁和信任危机。

　　具体技术特征如下：

　　1. 病毒运行后，盗取的网上银行涉及：
　　
　　银联支付网关-->执行支付
　　银联支付网关：
　　中国工商银行新一代网上银行
　　中国工商银行网上银行：
　　工商银行网上支付：
　　申请牡丹信用卡
　　招商银行个人银行
　　招商银行一网通：
　　个人网上银行
　　中国建设银行网上银行
　　登陆个人网上银行;;
　　中国建设银行
　　中国建设银行网上银行：
　　交通银行网上银行
　　交通银行网上银行：
　　深圳发展银行帐户查询系统
　　深圳发展银行|个人银行
　　深圳发展银行 | 个人用户申请表
　　深圳发展银行：
　　民生网个人普通版
　　民生银行：
　　网上银行--个人普通业务
　　华夏银行：
　　上海银行企业网上银行
　　上海银行：
　　首都电子商城商户管理平台
　　首都电子商城商户管理：
　　中国在线支付网: :IPAY网上支付中心
　　中国在线支付网商户：
　　招商银行网上支付中心
　　招商银行网上支付：
　　个人网上银行-网上支付

　　2. 病毒算机中创建以下文件：

　　%SystemDir%\svch0st.exe，16284字节，病毒本身

3. 在注册表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run中创建：

　　“svch0st.exe” = “%SystemDir%\svch0st.exe”
　　“taskmgr.exe” = “%SystemDir%\svch0st.exe”

　　4. 病毒运行后会根据IE窗口标题栏判断是否为网上银行页面，如果发现上述提到的银行后，病毒立即开始记录键盘敲击的每一个键值，记录键值包括：

　　AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpqqRrssTtUuVvWwXxYyZz1
　　!2@3#4$5%6^7&8*9(0)
　　{BackSpace}
　　{Tab}
　　{回车}
　　{Shift}
　　{Ctrl}
　　{Alt}
　　{Pause}
　　{Esc}
　　{空格}
　　{End}
　　{Home}
　　{Left}
　　{Right}
　　{Up}
　　{Down}
　　
　　{Delete}
　　;:=+,<-_.>/?`~][{\|]}'
　　{Del}
　　{F1}
　　{F2}
　　{F3}
　　{F4}
　　{F5}
　　{F6}
　　{F7}
　　{F8}
　　{F9}
　　{F10}
　　{F11}
　　{F12}
　　{NumLock}
　　{ScrollLock}
　　{PrintScreen}
　　{PageUp}
　　{PageDown}

　　5. 病毒截取到键盘值后，会形成信息发到指定http://*****.com/****/get.asp。其信息如下：

　　http://*****.com/****/get.asp?txt=××银行：<截获的按键>

　　6.病毒开启3个定时器，每隔几秒钟搜索用户的IE窗口，如果发现用户正在使用上述银行的“个人网上银行”的登陆界面，则尝试记录用户键入的所有键值，然后把窃取到的信息通过get方式发送到指定的服务器