江民发布证券大盗病毒技术分析报告

　　病毒类型：特洛依木马

　　病毒大小：201216字节

　　危害等级：★★★

　　2004年11月25日，江民反病毒中心截获Trojan/PSW.Soufan特洛依木马病毒。该木马可以盗取多家证券交易系统的交易帐户和密码。

　　具体技术特征如下：

　　1.病毒运行后，将创建自身复本于：

　　%WinDir%\SYSTEM32.EXE, 201216字节

　　2.在注册表中添加下列启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"System"=%WinDir%\SYSTEM32.EXE

　　3.木马运行时寻找如下窗口标题：

　　南方证券网上交易

　　网上股票交易系统

　　华夏稳赢网上交易系统

　　国泰君安证券-富易

　　网上交易委托系统

　　用户登录 - 兴业证券

　　如果发现上述窗口就开始启动键盘钩子对用户登陆信息进行记录，包括用户名和密码。

　　4.在记录键盘信息的同时，通过屏幕快照将用户登陆时窗口画面保存为图片，存放于：

　　c:\Screen1.bmp

　　c:\Screen2.bmp

　　5.当记录指定次数后，将3，4中记录的信息和图片通过电子邮件发送到webmaster@shoufan.com。

　　6.发送成功后，病毒进行自杀，将自身删除，但4中生成的.bmp图片并未被删除。

　　针对该病毒，江民公司已经紧急升级了病毒库。请您及时升级到11月25日病毒库，即可全面查杀该病毒，保护您的系统不受其侵害。