揭开网银木马的面纱

51CTO推荐： 木马原理与防范

国家计算机病毒应急处理中心通过对互联网的监测发现一个恶意诱骗用户暴露银行个人银行帐号密码的网银木马TrojSpy_Banker.YY。该网银木马会监视IE浏览器正在访问的网页，如果发现用户正在登录工行个人银行，就会弹出伪造的登录对话框，诱骗用户输入登录密码和支付密码，通过邮件将窃取的信息发送出去。

一、网银木马TrojSpy_Banker.YY的介绍：

1、病毒名称：TrojSpy_Banker.YY

2、病毒类型：木马程序

3、其它命名：

◆Win32.Troj.Banker.ic.118018（金山）

◆TrojanSpy.Banker.yy（江民）

◆TSPY_BANCOS.BIR（趋势）

二、网银木马TrojSpy_Banker.YY的具体技术特征如下：

1、木马大小110KB～120KB左右，由VB语言编写。

//运行后会在注册表启动项 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run 
//下添加： “svchost”=“%SystemDir%\svchost.exe”

这样每次系统启动，木马程序都会自动运行。

2、监视IE浏览器访问的页面，如果发现用户登录该行网上银行个人银行页面就会弹出伪造的IE窗口（如图一所示），诱骗用户输入登录密码和支付密码。

图一伪造的IE窗口

图二正常的网站网页

请用户注意以上两页面的对比，谨防受骗上当。

用户输入信息提交后，就会显示以下内容“为了给您提供更加优良的电子银行服务，6月25日我行对电子银行系统进行了升级。请您务必修改以上信息！”，诱骗用户再次输入登录密码和支付密码。

3、木马会将窃取到的信息通过邮件发送到指定邮件地址

三、网银木马TrojSpy_Banker.YY的手工解决方法：

1、在注册表启动项中删除以下键值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ 
CurrentVersion\Run //下： 
“svchost”=“%SystemDir%\svchost.exe”

2、搜索硬盘中svchost.exe文件，并删除。

关于网银木马TrojSpy_Banker.YY的的基本情况就向你介绍到这里，希望通过网银木马TrojSpy_Banker.YY的了解使你对网银木马的防范有所认识。