病毒類型：木馬

病毒大小🤦🏿：16284字節

傳播方式：網絡

壓縮方式：ASpack

2004年6月2日晚🏰，江民反病毒中心又截獲“網銀大盜”新變種，該木馬盜取幾乎涵蓋中國目前所有個人網上銀行的帳號👨🏻‍⚖️、密碼、驗證碼等等，發送給病毒作者。此木馬與4月分截獲網銀大盜（Trojan/PSW.HidWebmon）有異曲同工之處，但涉及銀行之多🐞，範圍之廣是歷來最大的，不但給染毒用戶造成的損失更大❔，更直接，也給各網上銀行造成更大的安全威脅和信任危機。

具體技術特征如下🥅🤽🏿：

1. 病毒盜取的相關銀行11個； 目標網頁21個⏪； 目標帳戶類型13種.

2. 病毒算機中創建以下文件：

%SystemDir%\svch0st.exe📀，16284字節，病毒本身

3. 在註冊表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Runonce

中創建：

“svch0st.exe” = “%SystemDir%\svch0st.exe”

“taskmgr.exe” = “%SystemDir%\svch0st.exe”

4. 病毒運行後會每隔10毫秒查看用戶是否在操作IE或Netscape瀏覽器，進而根據窗口標題判斷用戶是否在瀏覽上文列出的網上銀行頁面🧝🏼，一旦確認，病毒立即開始記錄鍵盤敲擊的每一個鍵值，記錄鍵值包括👊：AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz1

!2@3#4$5%6^7&8*9(0)

{BackSpace}

{Tab}

{回車}

{Shift}

{Ctrl}

{Alt}

{Pause}

{Esc}

{空格}

{End}

{Home}

{Left}

{Right}

{Up}

{Down}

{Insert}

{Delete}

;:=+,/?`~][{\|]}'

{Del}

{F1}

{F2}

{F3}

{F4}

{F5}

{F6}

{F7}

{F8}

{F9}

{F10}

{F11}

{F12}

{NumLock}

{ScrollLock}

{PrintScreen}

{PageUp}

{PageDown}

5. 病毒每隔1分鐘檢查是否已經成功盜取了用戶信息，如果是，則通過GET方式把截取的用戶按鍵提交給http://*****.com/****/get.asp🤵‍♀️。其格式如下🏊🏻：

http://*****.com/****/get.asp?txt=：

銀行帳戶類型共有13種。

針對該病毒，江民公司已經在第一時間升級🔝⛅️。請您立即升級到6月3日病毒庫，打開江民殺毒軟件的隱私保護👨🏽‍🦲，即可全面防殺該病毒📊🆓，保護您個人網上銀行帳號和密碼的安全🛣。

“網銀大盜”病毒病毒防範和清除方法

KV2004對網絡隱私的一個重要的功能是：“隱私保護”，它能保護用戶上網過程中的一些敏感信息和收發電子郵件時發送的帳號及密碼等信息。Trojan/PSW.HidWebmon.a和Trojan/PSW.HidWebmon.b “網銀大盜”正是利用了用戶在上網的瀏覽（IE瀏覽器，江民殺毒軟件采用的是網頁監視監視可能的盜取密碼的行為）過程。

1、啟用“隱私保護”實時監視，進行隱私保護設置🥐；

圖1

註：在啟用“隱私保護”監視時“郵件監視”和“網頁監視”就會自動啟動,如果關閉“郵件監視”和“網頁監視”那麽“隱私保護監視”就會自動取消;但關閉“隱私保護”監控時不會影響“郵件監視”和“網頁監視”的狀態。

2、增加相應保密信息

圖2

3↙️、選擇“增加”後進一步會出現如下界面：

圖3

在圖3界面設置相應的私密信息類型🪆、用戶🧋🛡、私密信息內容及信息說明🎋，按“確定”出現如下界面；

圖4

最後選擇並確認“檢測到私密信息後的處理方式”💂🏼；按“關閉”後私密信息就增加到程序當中，用戶也可以對設置的私密信息進行刪除和修改🦬；

完成以上“隱私保護”監視功能的設置以後🦹🏻‍♂️🧖🏻‍♀️，如果電腦中重要數據被已知或未知的不明程序向外傳輸時🖋，KV2004的“隱私保護”監控就會發出警報☮️，這樣🎣，可以有效地阻止木馬、黑客程序盜取用戶密碼等機密文件🏋🏼‍♂️。