病毒类型：木马

病毒大小：16284字节

传播方式：网络

压缩方式：ASpack

2004年6月2日晚，江民反病毒中心又截获“网银大盗”新变种，该木马盗取几乎涵盖中国目前所有个人网上银行的帐号、密码、验证码等等，发送给病毒作者。此木马与4月分截获网银大盗（Trojan/PSW.HidWebmon）有异曲同工之处，但涉及银行之多，范围之广是历来最大的，不但给染毒用户造成的损失更大，更直接，也给各网上银行造成更大的安全威胁和信任危机。

具体技术特征如下：

1. 病毒盗取的相关银行11个； 目标网页21个； 目标帐户类型13种.

2. 病毒算机中创建以下文件：

%SystemDir%\svch0st.exe，16284字节，病毒本身

3. 在注册表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Runonce

中创建：

“svch0st.exe” = “%SystemDir%\svch0st.exe”

“taskmgr.exe” = “%SystemDir%\svch0st.exe”

4. 病毒运行后会每隔10毫秒查看用户是否在操作IE或Netscape浏览器，进而根据窗口标题判断用户是否在浏览上文列出的网上银行页面，一旦确认，病毒立即开始记录键盘敲击的每一个键值，记录键值包括：AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz1

!2@3#4$5%6^7&8*9(0)

{BackSpace}

{Tab}

{回车}

{Shift}

{Ctrl}

{Alt}

{Pause}

{Esc}

{空格}

{End}

{Home}

{Left}

{Right}

{Up}

{Down}

{Insert}

{Delete}

;:=+,/?`~][{\|]}'

{Del}

{F1}

{F2}

{F3}

{F4}

{F5}

{F6}

{F7}

{F8}

{F9}

{F10}

{F11}

{F12}

{NumLock}

{ScrollLock}

{PrintScreen}

{PageUp}

{PageDown}

5. 病毒每隔1分钟检查是否已经成功盗取了用户信息，如果是，则通过GET方式把截取的用户按键提交给http://*****.com/****/get.asp。其格式如下：

http://*****.com/****/get.asp?txt=：

银行帐户类型共有13种。

针对该病毒，江民公司已经在第一时间升级。请您立即升级到6月3日病毒库，打开江民杀毒软件的隐私保护，即可全面防杀该病毒，保护您个人网上银行帐号和密码的安全。

“网银大盗”病毒病毒防范和清除方法

KV2004对网络隐私的一个重要的功能是：“隐私保护”，它能保护用户上网过程中的一些敏感信息和收发电子邮件时发送的帐号及密码等信息。Trojan/PSW.HidWebmon.a和Trojan/PSW.HidWebmon.b “网银大盗”正是利用了用户在上网的浏览（IE浏览器，江民杀毒软件采用的是网页监视监视可能的盗取密码的行为）过程。

1、启用“隐私保护”实时监视，进行隐私保护设置；

图1

注：在启用“隐私保护”监视时“邮件监视”和“网页监视”就会自动启动,如果关闭“邮件监视”和“网页监视”那么“隐私保护监视”就会自动取消;但关闭“隐私保护”监控时不会影响“邮件监视”和“网页监视”的状态。

2、增加相应保密信息

图2

3、选择“增加”后进一步会出现如下界面：

图3

在图3界面设置相应的私密信息类型、用户、私密信息内容及信息说明，按“确定”出现如下界面；

图4

最后选择并确认“检测到私密信息后的处理方式”；按“关闭”后私密信息就增加到程序当中，用户也可以对设置的私密信息进行删除和修改；

完成以上“隐私保护”监视功能的设置以后，如果电脑中重要数据被已知或未知的不明程序向外传输时，KV2004的“隐私保护”监控就会发出警报，这样，可以有效地阻止木马、黑客程序盗取用户密码等机密文件。