| 这是一个32位木马,打包长度为 13,312 字节,它会自动截获 E-Gold 网上银行登录信息。
当木马运行后,会将自己注册到系统中,跟随系统启动 -
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Shell = %Windows%\svshost.exe
该木马会创建一个格式类似于 CLSID 的互斥量 -
{FA531CC1-0497-11d3-A180-00105A276C3E}
木马隐藏于系统后端,等待用户通过浏览器连接到 E-Gold 网上银行系统。它通过系统 IE
浏览器标题行中是否包含以下字符串来检查用户是否连接到该网站 -
e-gold.com/acct/login.html
e-gold.com/acct/accountinfo.asp
e-gold.com/acct/balance.asp
木马试图截获该登陆信息然后通过网络发送给它的作者。
|
