昨天,江民反病毒中心截获一个新的网银木马(Trojan/PSW.VShell.a)。该病毒将于2005年8月1日起发作,病毒通过记录用户键盘输入,盗取工行个人网上银行的账号密码,并通过网页脚本把获得的非法信息提交给病毒作者。
据江民反病毒专家介绍,病毒运行后,会创建kv2005.dll和kvshell2005.dll两个文件,前者为病毒主功能模块,后者为病毒启动模块。专家提醒,此病毒文件名含有KV2005字样,伪装成杀毒软件程序,病毒显然企图借此来蒙蔽普通电脑用户。事实上,江民杀毒软件KV2005并无此程序,请电脑用户仔细辨别。
据悉,如果系统时间晚于2005年8月1日,病毒会查找包括IE、Maxthon、TTraveler、MYIE、ToUChNet、Opera、SmartEXPlorer k-meleon、GreenBrowser在内的多种浏览器,一旦发现用户使用其中任一种浏览器登录工行个人网上银行的界面,则开始记录用户的键盘输入。如果卡号长度为19个字符,并以“95588”开头时,病毒就会将记录下的卡号、密码和验证数字等信息加密后提交给http//bbs..com/。目前该地址定向到http//www..com/admin/2005.ASP。同时,病毒会试图结束多种国内杀毒软件的进程。该病毒还会利用多种技术手段保护自身进程,这使得用户手工清除病毒十分困难。
针对该病毒,江民公司已经在第一时间升级了病毒库。请广大KV用户立即升级到7月10日的病毒库,即可全面查杀该病毒,保护工行网上银行卡号密码不受其威胁。
