病毒资料：W32/Banker.AFJ!tr 基本信息 病毒名称: W32/Banker.AFJ!tr 类型: 木马 长度: 255590 威胁级别: 2 捕获日期: 2006-03-01 其它别名: Trojan-Dropper.Win32.Agent.ajk，PWSteal.Tarno.S，W32/Banker.IWP dropper 影响系统: MS－Windows 表现特征 1. 病毒文件运行后消失；2. 若用户正在使用 IE ，IE 会关闭；3. %SYSTEM% 目录下存在文件 msupdate.dll 和 guisetup.exe。 行为分析 1. 这是一个 PE 病毒，使用 Pe_Patch 和 Aspack 加壳，加壳后长度为 255,590 字节；2. 试图关闭已经打开的 Internet Explorer 浏览器；3. 试图释放文件 %SYSTEM%\msupdate.dll，%SYSTEM%\svchost.dll(相同文件)，病毒名 W32/Banker.AFJ!tr；   试图释放文件 %SYSTEM%\guisetup.exe，%SYSTEM%\winsetup.exe(相同文件)，病毒名 Spy/BDoor；   并运行 guisetup.exe；4. 创建目录 c:\cardon，%SYSTEM%\suskn，%SYSTEM%\sucontr，%SYSTEM%\suact；5. 删除自身。6. msupdate.dll 和 guisetup.exe 分析如下：   a) 创建注册表项            HKEY_CLASSES_ROOT\CLSID\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}           HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper                               Objects\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}      并设置子键           " InprocServer32 " = " %SYSTEM%\msuptate.dll " ；   b) 监视含有下列字符串的窗口或者网页，截获用户的操作，窃取用户的帐号和密码：           gold            cash            bank            pas            log            user            usr            pwd            psw            pw            parol            firma            pin            clave            trans            ...   c) 创建下列文件并写入收集到的用户信息：            %SYSTEM%\winte.html             %SYSTEM%\wint.ini             %SYSTEM%\ierror.rep             %SYSTEM%\sui.dll             %SYSTEM%\sei.dll   d) 将搜集到的用户信息发送给病毒作者； 清除方法 1. 删除相关的病毒文件；2. 打开注册表编辑器，删除病毒的注册表相关项；3. 建议更新防毒软件病毒库至最新，全盘扫描系统。

评论