“新网银大盗”昨起发作 网银用户需谨慎

　　 8月1日消息，由江民反病毒中心7月10日的网银木马“新网银大盗”病毒(Trojan/PSW.VShell.a)今日起开始发作。根据江民反病毒专家的分析，该病毒以系统日期8月1日为触发机制，8月1日以后，病毒通过记录用户键盘输入盗取个人网上银行的帐号密码。

据了解，该病毒是江民公司继去年截获数个“网银大盗”病毒后出现的又一新变种。去年发作的“网银大盗”病毒传播者在被捕前已经成功盗取资金4.8万元。无独有偶，也是在今日，来自西班牙的内部消息，阿根廷政府已经因为一起数百万美元的在线银行欺诈案，逮捕了多达15名犯罪嫌疑人，其中包括一名西班牙国际公民。可见网银大盗病毒已经成为世界各国网上银行业务的祸害。

据江民反病毒专家介绍，该病毒运行后，会创建病毒主功能模块%SystemDir%\kv2005.dll和病毒启动模块 %SystemDir%\kvshell2005.dll。和一般的向注册表启动项中添加键值的方法不同，该病毒特别恶毒，用regsvr32.exe注册kvshell2005.dll为BHO插件，继而负责调用病毒主要功能模块kvshell2005.dll在Windows系统启动时就会被自动加载，进而建立互斥体"KvShell_2018"，设置窗口钩子函数。该病毒还通过检测调试器、重写SetWindowsHookEx API函数等方法对自身进行保护。

如果系统时间晚于2005年8月1日，病毒会查找包括IE在内的多种浏览器，如:Maxthon 、TTraveler (腾讯)、MYIE 、TouchNet 、Opera 、SmartExplorer 等。一旦发现用户正在某个人网上银行的登录界面，该病毒则开始记录用户的键盘输入。如果卡号长度为19个字符，并以"95588"开头时，病毒就将会记录下的卡号、密码和验证数字等信息加密后提交给http://bbs.8189123.com/。目前该地址定向到http://www.dygyzc.com/admin/2005.asp。另外，如果系统时间晚于2005年8月1日，病毒会试图结束多种国内杀毒软件的进程。

针对该病毒，江民公司再次提醒广大网银用户，立即升级杀毒软件到7月10日病毒库，开启病毒实时监控，即可有效防范新网银大盗，防范病毒于系统之外。此外，江民杀毒软件KV2005新增未知病毒主动防御系统，可有效防范100%的木马病毒和98%以上的未知病毒，开启"木马/注册表"监视，运行木马一扫光和未知病毒检测，即可全面防范该该病毒新变种，更好地保护用户网上银行资金安全。

原文转自：http://www.ltesting.net