病毒大小:201216字节
危害等级:★★★
2004年11月25日,江民反
病毒中心截获Trojan/PSW.Soufan特洛依木马
病毒。该木马可以盗 取多家证券交易系统的交易帐户和密码。
具体技术特征如下:
1.
病毒运行后,将创建自身复本于:
%WinDir%SYSTEM32.EXE, 201216字节
2.在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"System"=%WinDir%SYSTEM32.EXE
3.木马运行时寻找一些包含著名券商名称的窗口标题,如果发现就开始启动键盘钩子对用户登陆
信息进行记录,包括用户名和密码。
4.在记录键盘
信息的同时,通过屏幕快照将用户登陆时窗口画面保存为图片,存放于:
内容来源病毒专杀
c:Screen1.bmp
c:Screen2.bmp
5.当记录指定次数后,将3,4中记录的
信息和图片通过电子邮件发送到webmaster@****.com。
6.发送成功后,
病毒进行自杀,将自身删除,但4中生成的.bmp图片并未被删除。
针对该
病毒,江民公司已经紧急升级了
病毒库。请您及时升级到11月25日
病毒库,即可全面查杀该
病毒,保护您的系统不受其侵害。
www.54pe.com
证券大盗”发作过程实景图
内容来自54pe.c o m
内容来自清除病毒
红框标注的就是病毒体本身(点击看大图)
京公网安备 11010802021500号