新网银大盗（Trojan/PSW.VShell.a）
病毒名称：Trojan/PSW.VShell.a
中文名称：新网银大盗
病毒类型：木马
病毒大小：94208字节
传播方式：网络
危害程度：★★★

2005年7月10日，江民反病毒中心再次截获一个网银木马（Trojan/PSW.VShell.a）。该病毒将于2005年8月1日起发作，记录用户键盘输入，盗取工行个人网上银行的帐号密码，通过网页脚本把获得的非法信息提交给病毒作者。

病毒具体技术特征如下：
1. 病毒运行后，创建下列文件：
%SystemDir%\kv2005.dll，60928字节，病毒主功能模块
%SystemDir%\kvshell2005.dll，24576字节，病毒启动模块

2. 和一般的向注册表启动项中添加键值的方法不同，该病毒用regsvr32.exe注册kvshell2005.dll为BHO插件，这样kvshell2005.dll在Windows系统启动时会被自动加载，它负责调用病毒主要功能模块kv2005.dll。

3. kv2005.dll被加载后，首先建立互斥体“KvShell_2018”，确保系统中只有一个模块实例，然后设置窗口钩子函数。

4. 如果系统时间晚于2005年8月1日，病毒会查找包括IE在内的多种浏览器，他们是：
Maxthon
TTraveler （腾讯）
MYIE
TouchNet
Opera
SmartExplorer
k-meleon
GreenBrowser
  一旦发现用户正在工行个人网上银行的登录界面，则开始记录用户的键盘输入。如果卡号长度为19个字符，并以"95588"开头时，病毒就将会记录下的卡号、密码和验证数字等信息加密后提交给http://bbs.******.com/。目前该地址定向到http://www.***.com/admin/2005.asp。

5. 如果系统时间晚于2005年8月1日，病毒会试图结束多种国内杀毒软件的进程。

6. 病毒通过检测调试器、重写SetWindowsHookEx API函数等方法对自身进行保护。

  针对该病毒，江民公司已经在第一时间升级了病毒库。请广大KV用户立即升级到7月10日的病毒库，即可全面查杀该病毒，保护您的工行网上银行卡号密码不受其威胁。


















你们瑞星对此有什么看法啊！~能不能也防治一下啊！~我们这些经常上网银交易的用户不是很危险嘛~
½lPU t»+Òbbs.ikaka.comÓêÜ!¶6K}

快帮忙解答一下啊

到了8月1号发作的话，瑞星解决不了我就死定了

俺是正版用户啊！~½lPU t»+Òbbs.ikaka.comÓêÜ!¶6K}

引用:

【呐呐猪的贴子】新网银大盗（Trojan/PSW.VShell.a） 病毒名称：Trojan/PSW.VShell.a 中文名称：新网银大盗 病毒类型：木马 病毒大小：94208字节 传播方式：网络 危害程度：★★★ 2005年7月10日，江民反病毒中心再次截获一个网银木马（Trojan/PSW.VShell.a）。该病毒将于2005年8月1日起发作，记录用户键盘输入，盗取工行个人网上银行的帐号密码，通过网页脚本把获得的非法信息提交给病毒作者。 病毒具体技术特征如下： 1. 病毒运行后，创建下列文件： %SystemDir%\kv2005.dll，60928字节，病毒主功能模块 %SystemDir%\kvshell2005.dll，24576字节，病毒启动模块 2. 和一般的向注册表启动项中添加键值的方法不同，该病毒用regsvr32.exe注册kvshell2005.dll为BHO插件，这样kvshell2005.dll在Windows系统启动时会被自动加载，它负责调用病毒主要功能模块kv2005.dll。 3. kv2005.dll被加载后，首先建立互斥体“KvShell_2018”，确保系统中只有一个模块实例，然后设置窗口钩子函数。 4. 如果系统时间晚于2005年8月1日，病毒会查找包括IE在内的多种浏览器，他们是： Maxthon TTraveler （腾讯） MYIE TouchNet Opera SmartExplorer k-meleon GreenBrowser   一旦发现用户正在工行个人网上银行的登录界面，则开始记录用户的键盘输入。如果卡号长度为19个字符，并以"95588"开头时，病毒就将会记录下的卡号、密码和验证数字等信息加密后提交给http://bbs.******.com/。目前该地址定向到http://www.***.com/admin/2005.asp。 5. 如果系统时间晚于2005年8月1日，病毒会试图结束多种国内杀毒软件的进程。 6. 病毒通过检测调试器、重写SetWindowsHookEx API函数等方法对自身进行保护。   针对该病毒，江民公司已经在第一时间升级了病毒库。请广大KV用户立即升级到7月10日的病毒库，即可全面查杀该病毒，保护您的工行网上银行卡号密码不受其威胁。 你们瑞星对此有什么看法啊！~能不能也防治一下啊！~我们这些经常上网银交易的用户不是很危险嘛~ ...........................

1、上网时打开瑞星实时监控及防火墙，并定时升级病毒库。
2、用Windows update检查系统，打上关键更新补丁。
3、请不要随便浏览不明网站，下载的文件打开时先用杀毒软件进行扫描，以确保文件中不含有病毒。
4、请尽量避免或是少用网上银行功能。½lPU t»+Òbbs.ikaka.comÓêÜ!¶6K}

...........

那你们的意思是，我们做网络生意的每天就少交易？不做生意啊？
那怎么吃饭啊！~
你们该有些针对措施出台啊！~

人家KV2005就已经可以查杀了，你们不会比他们迅吧½lPU t»+Òbbs.ikaka.comÓêÜ!¶6K}

引用:

【呐呐猪的贴子】........... 那你们的意思是，我们做网络生意的每天就少交易？不做生意啊？ 那怎么吃饭啊！~ 你们该有些针对措施出台啊！~ 人家KV2005就已经可以查杀了，你们不会比他们迅吧 ...........................

江民可以瑞星也没问题½lPU t»+Òbbs.ikaka.comÓêÜ!¶6K}