正在阅读：江民公布网银大盗Ⅲ病毒技术分析报告江民公布网银大盗Ⅲ病毒技术分析报告

　　病毒名称：网银大盗Ⅲ(TrojanSpy.Elelist)

　　病毒类型：木马

　　病毒大小：38400字节

　　传播方式：网络

　　2004年6月8日，江民反病毒中心率先截获 "网银大盗Ⅲ"木马病毒(TrojanSpy.Elelist)。该木马偷取英国巴克莱等若干国外银行网上银行的帐号和密码，通过电子邮件发送给病毒作者。

　　具体技术特征如下：

　　1. 病毒运行后，将在用户计算机中创建以下文件：

　　%SystemDir%mssdk32.dll, 119字节，

　　%SystemDir%mslib32.dll, 24576字节，

　　%WinDir%systemuser32.exe, 38400字节，

病毒文件

 
病毒文件

　　HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun下创建：

　　"User Mansger " = "%WinDir%systemuser32.exe"

　　或修改

　　SOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell为：

　　"Shell" = "Explorer.exe %WinDir%systemuser32.exe"

 
注册表内容

　　3. 病毒运行后调用mslib32.dll病毒模块，该模块负责设置消息挂钩，并对IE页面控件进行监视，一旦认定用户正在某些国外银行的网页上进行交互操作，就把各种IE控件的有关信息(包括用户名、密码输入框，各种选择框，ComboBox选择列表等)记录到%SystemDir%msvcdc.dll和%SystemDir%msvxdexe.dll两个文件中。