国内资深黑客详谈Trojan-PSW盗号木马

　　具体技术特征如下：

　　（1）病毒运行后，盗取的网上银行涉及：

　　银联支付网关-->执行支付

　　银联支付网关

　　中国工商银行新一代网上银行

　　中国工商银行网上银行

　　工商银行网上支付

　　申请牡丹信用卡

　　招商银行个人银行

　　招商银行一网通

　　个人网上银行

　　中国建设银行网上银行

　　登陆个人网上银行

　　中国建设银行

　　中国建设银行网上银行

　　交通银行网上银行

　　交通银行网上银行

　　深圳发展银行帐户查询系统

　　深圳发展银行　个人银行

　　深圳发展银行 　 个人用户申请表

　　深圳发展银行：

　　民生网个人普通版

　　民生银行

　　网上银行--个人普通业务

　　华夏银行

　　上海银行企业网上银行

　　上海银行

　　首都电子商城商户管理平台

　　首都电子商城商户管理：

　　中国在线支付网: :IPAY网上支付中心

　　中国在线支付网商户

　　招商银行网上支付中心

　　招商银行网上支付

　　个人网上银行-网上支付

　　（2）病毒算机中创建以下文件：

　　%SystemDir%\svch0st.exe，16284字节，病毒本身

　　（3）在注册表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run中创建：

　　“svch0st.exe”=“%SystemDir%\svch0st.exe”

　　“taskmgr.exe”=“%SystemDir%\svch0st.exe”

　　（4）病毒运行后会根据IE窗口标题栏判断是否为网上银行页面，如果发现上述提到的银行后，病毒立即开始记录键盘敲击的每一个键值，记录键值包括：

　　AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz1

　　!2@3#4$5%6^7&8*9(0)

　　{BackSpace}{Tab}{回车}{Shift}{Ctrl}{Alt}{Pause}

　　{Esc}{空格}{End}{Home}{Left}{Right}{Up}{Down}

　　{Insert}{Delete}{Del}{F1} -- {F12}

　　{NumLock}{ScrollLock}{PrintScreen}{PageUp}{PageDown}

　　;:=+,<-_.>/?`~][{\　]}'

　　（5）病毒截取到键盘值后，会形成信息发到指定http://*****.com/****/get.asp。其信息如下：

　　http://*****.com/****/get.asp?txt=××银行：<截获的按键>

　　（6）病毒开启3个定时器，每隔几秒钟搜索用户的IE窗口，如果发现用户正在使用上述银行的“个人网上银行”的登陆界面，则尝试记录用户键入的所有键值，然后把窃取到的信息通过get方式发送到指定的服务器。

　　3.“证券大盗”

　　该木马可以盗取多家证券交易系统的交易帐号和密码。

　　具体技术特征如下：

　　（1）病毒运行后，将创建自身复本于：

　　%WinDir%\SYSTEM32.EXE, 201216字节

　　（2）在注册表中添加下列启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"System"=%WinDir%\SYSTEM32.EXE

　　（3）木马运行时寻找一些包含著名券商名称的窗口标题，如果发现就开始启动键盘钩子对用户登陆信息进行记录，包括用户名和密码。

　　（4）在记录键盘信息的同时，通过屏幕快照将用户登陆时窗口画面保存为图片，存放于：

　　c:\Screen1.bmp

　　c:\Screen2.bmp