-
證券大盜
鎖定
- 中文名
- 證券大盜
- 外文名
- Trojan/PSW.Soufan
- 類 型
- 特洛依木馬
- 危險級別
- ***
- 發現時間
- 2004年11月25日
- 危害方式
- 盜取證券交易系統帳户和密碼
證券大盜病毒描述
2004年11月25日,江民反病毒中心截獲Trojan/PSW.Soufan特洛依木馬病毒。該木馬可以盜 取多家證券交易系統的交易帳户和密碼。
證券大盜技術特徵
1.病毒運行後,將創建自身複本於:
%WinDir%\SYSTEM32.EXE, (201216字節)
2.在註冊表中添加下列啓動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System"=%WinDir%\SYSTEM32.EXE
3.木馬運行時尋找如下窗口標題:
南方證券網上交易
網上股票交易系統
華夏穩贏網上交易系統
國泰君安證券-富易
網上交易委託系統
用户登錄 - 興業證券
如果發現上述窗口就開始啓動鍵盤鈎子對用户登陸信息進行記錄,包括用户名和密碼。
4.在記錄鍵盤信息的同時,通過屏幕快照將用户登陸時窗口畫面保存為圖片,存放於:
c:\Screen1.bmp
c:\Screen2.bmp
5.當記錄指定次數後,將3,4中記錄的信息和圖片通過電子郵件發送到webmaster@shoufan.com。
6.發送成功後,病毒進行自殺,將自身刪除,但4中生成的。bmp圖片並未被刪除。
另外,http://shoufa*.com(或http://www.shoufa*.com)網站包含惡意代碼,會利用IE瀏覽器的“ADODB.Stream”漏洞、“Shell.Application”漏洞和“Object Data”漏洞自動下載並運行“證券大盜”木馬病毒(Trojan/PSW.Soufan)。
具體技術分析如下:
網站主頁http://shoufa*.com/index.htm包含惡意代碼:
“”
其中,http://shoufa*.com/0_login.jpg並非圖片文件,而是一個網頁文本,它試圖使用2種方法在用户計算機上種植木馬:
方法1:彈出假廣告窗口http://shoufa*.com/js.htm,
廣告頁面http://shoufa*.com/js.htm(TrojanDownloader/JS.Simulator.b)包含惡意代碼,它調用另一個JScript惡意腳本http://shoufa*.com/js.js(TrojanDownloader.JS.Icyfox.c)。
http://shoufa*.com/js.js利用“Shell.Application”和“ADODB.Stream”文件下載漏洞,可以在用户不知情中自動下載運行“證券大盜”主程序http://shoufa*.com/run.exe。
方法2:利用“Object data”漏洞,運行http://shoufa*.com/shoufa*.asp。
http://shoufa*.com/shoufa*.asp(TrojanDropper.VBS.Chin)是惡意VBScript腳本,它在用户機器上釋放一個木馬下載程序TrojanDownloader.Rlay.b,這個木馬下載程序會去下載並運行“證券大盜”http://shoufa*.com/run.exe,然後自刪除。
注:文中所有的“shoufa*”皆為“shoufan”,為了避免讀者在閲讀時不小心點擊該惡意站點的鏈接而導致不必要的損失,故做此修改。