證券大盜

2004年11月25日，江民反病毒中心截獲Trojan/PSW.Soufan特洛依木馬病毒。該木馬可以盜 取多家證券交易系統的交易帳户和密碼。

1.病毒運行後，將創建自身複本於：

%WinDir%\SYSTEM32.EXE, （201216字節）

2.在註冊表中添加下列啓動項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"System"=%WinDir%\SYSTEM32.EXE

3.木馬運行時尋找如下窗口標題：

南方證券網上交易

網上股票交易系統

華夏穩贏網上交易系統

國泰君安證券-富易

網上交易委託系統

用户登錄 - 興業證券

如果發現上述窗口就開始啓動鍵盤鈎子對用户登陸信息進行記錄，包括用户名和密碼。

4.在記錄鍵盤信息的同時，通過屏幕快照將用户登陸時窗口畫面保存為圖片，存放於：

c:\Screen1.bmp

c:\Screen2.bmp

5.當記錄指定次數後，將3，4中記錄的信息和圖片通過電子郵件發送到webmaster@shoufan.com。

6.發送成功後，病毒進行自殺，將自身刪除，但4中生成的。bmp圖片並未被刪除。

另外，http://shoufa*.com（或http://www.shoufa*.com）網站包含惡意代碼，會利用IE瀏覽器的“ADODB.Stream”漏洞、“Shell.Application”漏洞和“Object Data”漏洞自動下載並運行“證券大盜”木馬病毒（Trojan/PSW.Soufan）。

具體技術分析如下：

網站主頁http://shoufa*.com/index.htm包含惡意代碼：

“”

其中，http://shoufa*.com/0_login.jpg並非圖片文件，而是一個網頁文本，它試圖使用2種方法在用户計算機上種植木馬：

方法1：彈出假廣告窗口http://shoufa*.com/js.htm，

廣告頁面http://shoufa*.com/js.htm（TrojanDownloader/JS.Simulator.b）包含惡意代碼，它調用另一個JScript惡意腳本http://shoufa*.com/js.js（TrojanDownloader.JS.Icyfox.c）。

http://shoufa*.com/js.js利用“Shell.Application”和“ADODB.Stream”文件下載漏洞，可以在用户不知情中自動下載運行“證券大盜”主程序http://shoufa*.com/run.exe。

方法2：利用“Object data”漏洞，運行http://shoufa*.com/shoufa*.asp。

http://shoufa*.com/shoufa*.asp（TrojanDropper.VBS.Chin）是惡意VBScript腳本，它在用户機器上釋放一個木馬下載程序TrojanDownloader.Rlay.b，這個木馬下載程序會去下載並運行“證券大盜”http://shoufa*.com/run.exe，然後自刪除。

注：文中所有的“shoufa*”皆為“shoufan”,為了避免讀者在閲讀時不小心點擊該惡意站點的鏈接而導致不必要的損失，故做此修改。

針對該病毒，江民公司已經緊急升級了病毒庫。請您及時升級到11月25日病毒庫，即可全面查殺該病毒。但由於“證券大盜”的自殺特徵，所謂的“專殺工具”根本無法掃描到系統內存在病毒，也無法保護股民的股票賬户安全，對付證券大盜病毒的最好辦法是安裝一款帶有隱私保護功能的殺毒軟件，並開啓病毒實時監控，將“證券大盜”抵禦於系統之外，開啓隱私保護功能將股票賬號密碼設為保護狀態，防止病毒向外發送信息，徹底防範“證券大盜”病毒惡意操縱你的股票帳户。沒有安裝殺毒軟件的用户，可以使用江民的免費在線查毒功能或使用江民殺毒軟件KV2005下載版進行防禦該病毒。