51CTO推薦：木馬原理與防范

國家計算機(jī)病毒應(yīng)急處理中心通過對互聯(lián)網(wǎng)的監(jiān)測發(fā)現(xiàn)一個惡意誘騙用戶暴露銀行個人銀行帳號密碼的網(wǎng)銀木馬TrojSpy_Banker.YY。該網(wǎng)銀木馬會監(jiān)視IE瀏覽器正在訪問的網(wǎng)頁，如果發(fā)現(xiàn)用戶正在登錄工行個人銀行，就會彈出偽造的登錄對話框，誘騙用戶輸入登錄密碼和支付密碼，通過郵件將竊取的信息發(fā)送出去。

一、網(wǎng)銀木馬TrojSpy_Banker.YY的介紹：

1、病毒名稱：TrojSpy_Banker.YY

2、病毒類型：木馬程序

3、其它命名：

◆Win32.Troj.Banker.ic.118018（金山）

◆TrojanSpy.Banker.yy（江民）

◆TSPY_BANCOS.BIR（趨勢）

二、網(wǎng)銀木馬TrojSpy_Banker.YY的具體技術(shù)特征如下：

1、木馬大小110KB～120KB左右，由VB語言編寫。

//運(yùn)行后會在注冊表啟動項  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\  
CurrentVersion\Run  
//下添加：  
“svchost”= “%SystemDir%\svchost.exe” 

這樣每次系統(tǒng)啟動，木馬程序都會自動運(yùn)行。

2、監(jiān)視IE瀏覽器訪問的頁面，如果發(fā)現(xiàn)用戶登錄該行網(wǎng)上銀行個人銀行頁面就會彈出偽造的IE窗口（如圖一所示），誘騙用戶輸入登錄密碼和支付密碼。

圖一偽造的IE窗口

圖二正常的網(wǎng)站網(wǎng)頁

請用戶注意以上兩頁面的對比，謹(jǐn)防受騙上當(dāng)。

用戶輸入信息提交后，就會顯示以下內(nèi)容“為了給您提供更加優(yōu)良的電子銀行服務(wù)，6月25日我行對電子銀行系統(tǒng)進(jìn)行了升級。請您務(wù)必修改以上信息！”，誘騙用戶再次輸入登錄密碼和支付密碼。

3、木馬會將竊取到的信息通過郵件發(fā)送到指定郵件地址

三、網(wǎng)銀木馬TrojSpy_Banker.YY的手工解決方法：

1、在注冊表啟動項中刪除以下鍵值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\  
 CurrentVersion\Run  
//下：  
“svchost”=“%SystemDir%\svchost.exe” 

2、搜索硬盤中svchost.exe文件，并刪除。

關(guān)于網(wǎng)銀木馬TrojSpy_Banker.YY的的基本情況就向你介紹到這里，希望通過網(wǎng)銀木馬TrojSpy_Banker.YY的了解使你對網(wǎng)銀木馬的防范有所認(rèn)識。

【編輯推薦】

1. 黑客網(wǎng)銀木馬服務(wù)器曝光 14家銀行網(wǎng)銀遭監(jiān)控
2. 網(wǎng)銀木馬病毒的原理與防殺辦法
3. 清除新網(wǎng)銀木馬 讓用戶不再擔(dān)憂財產(chǎn)安全
4. 詳解新網(wǎng)銀木馬清除技巧
5. XP系統(tǒng)反復(fù)重啟 新網(wǎng)銀木馬為罪魁禍?zhǔn)?/FONT>