Win32.Troj.bankobao.a_安全中国_全球最大网络安全培训门户

病毒别名：
处理时间：
威胁级别：★★
中文名称：
病毒类型：木马
影响系统：Win9x / WinNT
病毒行为:
该病毒是Worm.Mydoom.ao释放出来，用于窃取用户的银行的帐号和密码。窃取的帐号包括：网上支付、建设银行、农业银行、招商银行、工商银行、淘宝网等，并通过电子邮件进行发给病毒的制作者。

1、病毒生成如下文件
"%System%\rplsvr.exe" （木马本身）
"%System%\systems.dll"（记录文件）

2、添加注册表项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Systems" = "%System%\Systems.exe"
使得病毒在计算机在启动时运行。

3、创建类名为
"Systems"
窗口名为
"jia jia"
的窗口

4、生成以下互斥量
GMKRunOnlyOne
以保证只有一个病毒进程运行

5、当前窗口名含有以下字符时
网上支付
建设银行
农业银行
招商银行
工商银行
淘宝网
淘宝旺旺
支付宝
开始记录键盘操作。

6、对于特殊按键使用以下符号替代：
[DEL]
[INS]
[DF]
[RF]
[UF]
[LF]
[HOME]
[END]
[PD]
[PU]
[SP]
[ESC]
[EN]
[TAB]
[BK]
[F12]
[F11]
[F10]
[F9]
[F8]
[F7]
[F6]
[F5]
[F4]
[F3]
[F2]
[F1]

7、将获得的密码保存在
%system%\systems.dll
中，并将记录文件发送给用病毒作者

8、systems.dll文件格式内容为：
<>
2005-10-1 %窗口标题% %键盘记录%

9、记录文件通过 smtp.163.com 服务器发送到 xqq_to@163.com邮箱中

10、其发邮件使用的账号为
xqq_from
密码为
li654321
(出于安全考虑，已将此密码修改，以阻止其发用户信息)