网银木马 TrojSpy_Banker.ZQ

　　该木马为前些时候发现的网银木马TrojSpy_Banker.YY的新变种，它会监视受感染计算机系统中IE浏览器正在访问的网页，如果发现用户正在登录 某银行个人网上银行页面，就会弹出伪造的登录对话框，诱骗用户输入登录密码和支付密码，通过邮件将窃取到的信息发送出去。

　　病毒名称：TrojSpy_Banker.ZQ
　　病毒类型：木马程序
　　其它命名 :TrojanSpy.PSW.Banker.zq（江民）
　　Trojan.Spy.BankCN.h（瑞星）

　　具体技术特征如下：

　　1、登陆到该证券网的软件下载页面，可以看到多款证券交易软件下载列表，如下图一：

　　　　　　　　　　　　　　　　　图一

　　2、多个软件的安装程序捆绑了木马newup.exe。newup.exe大小2560字节，运行后将自动下载执行该网站中的网银木马svchost.exe。

　　3、网银木马svchost.exe的大小137728字节，由VB语言编写。运行后会在注册表启动项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加 “svchost”= “C:DOCUME~1aLOCALS~1TempRarSFX0svchost.exe”这样每次 系统启动，木马程序都会自动运行。

　　4、木马可以监视IE浏览器访问的页面，如果发现用户登录某银行网上个人银行页面，那么就会弹出伪造的IE窗口（如图二所示），诱骗用户输入登录密码和支付密码。

图二

图三

　　注：图三为该行网上银行个人银行真实页面，请用户注意两页面的对比，谨防受骗上当。用户输入信息提交后，就会显示以下内容“为了给您提供更加优良的电子银行服 务，6月25日我行对电子银行系统进行了升级。请您务必修改以上信息！”，诱骗用户再次输入登录密码和支付密码。

　　5、木马会将窃取到的信息通过邮件发送到指定邮件地址

　　处置方法：

　　1、手工解决方法

　　（１）在注册表启动项中删除以下键值 　　　　　

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下　　
　　的：“svchost”= “%C:DOCUME~1aLOCALS~1TempRarSFX0svchost.exe”

　　（２）搜索硬盘中svchost.exe文件，并删除。

　　2、 专杀工具清除

　　目前，北京江民公司、北京瑞星科技股份有限公司已经能够检测、清除该木马程序，广大计算机用户可以上网下载该木马的专杀工具。