一款通过电子邮件传播的网银盗号木马在网上传播,该木马可以截获用户的键盘操作和用户在登陆网上银行时使用鼠标点击软键盘输入时的图片信息,截取成功后,将连接网络发送到指定的ftp空间。
1、病毒检测
用户可以通过查看系统中是否存在如下目录结构来判断计算机是否已经被该病毒感染:
|-- clickshots [存放用户在登陆网银时的屏幕截图]
|-- logs [存放用户的键盘记录文件]
注:记录文件被上传到ftp后,本地文件将会被删除。
2、解决方案
关闭进程"rstray.exe"
删除注册表项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SCISound"="\"C:\\WINDOWS\\rstray.exe\" /lanzateRunOnce"
删除目录:
%Windir%\msik
删除文件:
%Windir%\rstray.exe
%Windir%\winhlp32.hlp
Tag: 木马 rstray.exe
