据江民公司反病毒专家介绍,病毒运行后,会创建kv2005.dll和kvshell2005.dll两个文件,前者为病毒主功能模块,后者为病毒启动模块。专家提醒,此病毒文件名含有KV2005字样,伪装成杀毒软件程序,企图借此来蒙蔽普通电脑用户,请用户仔细辨别。
和一般的向注册表启动项中添加键值的方法不同,新“网银大盗”用regsvr32.exe注册kvshell2005.dll为BHO插件,这样kvshell2005.dll在Windows系统启动时会被自动加载,它负责调用病毒主要功能模块kv2005.dll。kv2005.dll被加载后,首先建立互斥体“KvShell_2018”,确保系统中只有一个模块实例,然后设置窗口钩子函数。
据悉,如果系统时间晚于2005年8月1日,病毒会查找包括IE、Maxthon、TTraveler、MYIE、Touch-Net、Opera、SmartExplorer、k-meleon、GreenBrowser在内的多种浏览器,一旦发现用户使用其中任一种浏览器登录工行个人网上银行的界面,则开始记录用户的键盘输入。同时,病毒会试图结束多种国内杀毒软件的进程,还会利用多种技术手段保护自身进程,使得用户手工清除病毒十分困难。
针对该病毒,反病毒公司已经在第一时间升级了病毒库。读者最好立即升级到7月10日的病毒库,即可全面查杀该病毒。