“证券大盗”病毒专杀工具“证券大盗”病毒专杀工具

病毒大小：201216字节
危害等级：★★★
2004年11月25日，江民反病毒中心截获Trojan/PSW.Soufan特洛依木马病毒。该木马可以盗 取多家证券交易系统的交易帐户和密码。

具体技术特征如下：
1.病毒运行后，将创建自身复本于：
%WinDir%SYSTEM32.EXE, 201216字节


2.在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"System"=%WinDir%SYSTEM32.EXE

3.木马运行时寻找一些包含著名券商名称的窗口标题，如果发现就开始启动键盘钩子对用户登陆信息进行记录，包括用户名和密码。
4.在记录键盘信息的同时，通过屏幕快照将用户登陆时窗口画面保存为图片，存放于：
c:Screen1.bmp
c:Screen2.bmp
5.当记录指定次数后，将3，4中记录的信息和图片通过电子邮件发送到webmaster@****.com。
6.发送成功后，病毒进行自杀，将自身删除，但4中生成的.bmp图片并未被删除。

针对该病毒，江民公司已经紧急升级了病毒库。请您及时升级到11月25日病毒库，即可全面查杀该病毒，保护您的系统不受其侵害。
www.54pe.com

证券大盗”发作过程实景图

红框标注的就是病毒体本身（点击看大图）