新网银大盗

名称

病毒名称：Trojan/PSW.VShell.a

中文名称：新网银大盗

病毒类型：木马

病毒大小：94208字节

传播方式：网络危害程度：★★★

2005年7月10日，江民反病毒中心再次截获一个网银木马（Trojan/PSW.VShell.a）。该病毒将于2005年8月1日起发作，记录用户键盘输入，盗取工行个人网上银行的帐号密码，通过网页脚本把获得的非法信息提交给病毒作者。

特征

病毒具体技术特征如下：

1. 病毒运行后，创建下列文件：

%SystemDir%KV2005.dll，60928字节，病毒主功能模块

%SystemDir%kvshell2005.dll，24576字节，病毒启动模块

2. 和一般的向注册表启动项中添加键值的方法不同，该病毒用regsvr32.exe注册kvshell2005.dll为BHO插件，这样kvshell2005.dll在Windows系统启动时会被自动加载，它负责调用病毒主要功能模块kv2005.dll。

3. kv2005.dll被加载后，首先建立互斥体“KvShell_2018”，确保系统中只有一个模块实例，然后设置窗口钩子函数。

4. 如果系统时间晚于2005年8月1日，病毒会查找包括IE在内的多种浏览器，他们是：

Maxthon

TTraveler （腾讯）

MYIE

TouchNet

Opera

SmartExplorer

k-meleon

GreenBrowr

一旦发现用户正在工行个人网上银行的登录界面，则开始记录用户的键盘输入。如果卡号长度为19个字符，并以95588开头时，病毒就将会记录下的卡号、密码和验证数字等信息加密后提交给bbs.******.com/。目前该地址定向到www.***.com/admin/2005.asp。

5. 如果系统时间晚于2005年8月1日，病毒会试图结束多种国内杀毒软件的进程。

6. 病毒通过检测调试器、重写SetWindowsHookEx API函数等方法对自身进行保护。