国内资深黑客详谈Trojan-PSW盗号木马(4)

1.Trojan-PSW.Win32.Lmir.lq（传奇天使）

病毒标签：
病毒名称： Trojan-PSW.Win32.Lmir.lq
中文名称： 传奇天使
病毒类型： 木马
危害等级： 中
文件长度： 62,525 字节
感染系统： windows9x以上的所有版本
编写语言： Microsoft Visual C++

病毒描述：
传奇天使是专门盗取传奇账号的木马，感染后传奇天使后，该病毒会窃取传奇玩家的 区名称和ID名称，密码，及登陆服务器。感染该病毒后会在系统目录下生成病毒相关文件winker.exe或 winker.dll，搜索反病毒及安全软件的进程，找到后便将该进程中止，通过修改注册表，启动服务，并随系统同时启动。

行为分析：
1)修改注册表
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
添加键值："默认"="%Windir%winker.exe"从而达到随系统启动的目的。
2)在系统目录下释放文件winker.exe或winker.dll。
3)关闭如下进程：天网防火墙个人版，金山网镖2003，瑞星杀毒软件。
4)修改注册表，调用kernerl32.dll的RegisterServiceProccess，从而注册为服务。

2.“网银大盗”

病毒名称：网银大盗Ⅱ
病毒类型：木马
病毒大小：16284字节
传播方式：网络
压缩方式：ASpack
该木马盗取几乎涵盖中国当时所有个人网上银行的帐号、密码、验证码等等，发送给病毒作者。此木马与4月份截获网银大盗有异曲同工之处，但涉及银行之多，范围之广是历来最大的，不但给染毒用户造成的损失更大、更直接，也给各网上银行造成更大的安全威胁和信任危机。

具体技术特征如下：

（1）病毒运行后，盗取的网上银行涉及：
银联支付网关-->执行支付
银联支付网关
中国工商银行新一代网上银行
中国工商银行网上银行
工商银行网上支付
申请牡丹信用卡
招商银行个人银行
招商银行一网通
个人网上银行
中国建设银行网上银行
登陆个人网上银行
中国建设银行
中国建设银行网上银行
交通银行网上银行
交通银行网上银行
深圳发展银行帐户查询系统
深圳发展银行|个人银行
深圳发展银行 | 个人用户申请表
深圳发展银行：
民生网个人普通版
民生银行
网上银行--个人普通业务
华夏银行
上海银行企业网上银行
上海银行
首都电子商城商户管理平台
首都电子商城商户管理：
中国在线支付网: :IPAY网上支付中心
中国在线支付网商户
招商银行网上支付中心
招商银行网上支付
个人网上银行-网上支付

（2）病毒算机中创建以下文件：
%SystemDir%\svch0st.exe，16284字节，病毒本身

（3）在注册表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run中创建：
“svch0st.exe”=“%SystemDir%\svch0st.exe”
“taskmgr.exe”=“%SystemDir%\svch0st.exe”

（4）病毒运行后会根据IE窗口标题栏判断是否为网上银行页面，如果发现上述提到的银行后，病毒立即开始记录键盘敲击的每一个键值，记录键值包括：
AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz1
!2@3#4$5%6^7&8*9(0)
{BackSpace}{Tab}{回车}{Shift}{Ctrl}{Alt}{Pause}
{Esc}{空格}{End}{Home}{Left}{Right}{Up}{Down}
{Insert}{Delete}{Del}{F1} -- {F12}
{NumLock}{ScrollLock}{PrintScreen}{PageUp}{PageDown}
;:=+,<-_.>/?`~][{\|]}'

（5）病毒截取到键盘值后，会形成信息发到指定http://*****.com/****/get.asp。其信息如下：
http://*****.com/****/get.asp?txt=××银行：<截获的按键>

（6）病毒开启3个定时器，每隔几秒钟搜索用户的IE窗口，如果发现用户正在使用上述银行的“个人网上银行”的登陆界面，则尝试记录用户键入的所有键值，然后把窃取到的信息通过get方式发送到指定的服务器。