你好,360netview.dll病毒文件利用了360安全卫士网络查看器的设计缺陷,通过360安全卫士的网络连接查看器(带数字签名)来启动病毒文件,可以绕过绝大多数安全软件的拦截(包括360 自身),创建netview.exe进程,获取类名MyWindow的窗口X.Y坐标 2、病毒循环获取窗口经过2次判断窗口类名是否是internet explorer_server,如果是则调用API函数 来获取IHTMLDocument2*接口,判断当前域名是否是支付宝相关域名
如果是支付宝域名则定位页面中的 vbscript.regexp对象并创建对象,病毒利用了正则表达式匹配页面中的字符串:"ft-orange> (.*?)"、pay-all>(.*?)、"bank-link (.*?)\w\w\w"、"tradeprice">(.*?)试图将病毒创建的MyWindow窗口嵌入到当前支付宝页面窗口中,试图在支付宝支付页面中嵌入API支付接口代码,使其自动指向招商银行页面、截取用户输入的账号密码以URL方式发送到病毒作者的地址中
加注册表启动项 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ShellRun 值: 字符串: "C:\Documents and Settings\a\My Documents\netview.exe" 。
清除方案: 1、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用ATOOL“进程管理”关闭病毒开启的CMD.EXE、和IE进程 (2) 强行删除病毒文件 %Documents and Settings%\当前用户\My Documents\Shells.dll %Documents and Settings%\当前用户\My Documents\a.ccc %Documents and Settings%\当前用户\My Documents\c.ccc %Documents and Settings%\当前用户\My Documents\360netview.dll %Documents and Settings%\当前用户\My Documents\netview.exe (3) 删除病毒添加的注册表项 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ShellRun 值: 字符串: "C:\Documents and Settings\a\My Documents\netview.exe"
如果是支付宝域名则定位页面中的 vbscript.regexp对象并创建对象,病毒利用了正则表达式匹配页面中的字符串:"ft-orange> (.*?)"、pay-all>(.*?)、"bank-link (.*?)\w\w\w"、"tradeprice">(.*?)试图将病毒创建的MyWindow窗口嵌入到当前支付宝页面窗口中,试图在支付宝支付页面中嵌入API支付接口代码,使其自动指向招商银行页面、截取用户输入的账号密码以URL方式发送到病毒作者的地址中
加注册表启动项 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ShellRun 值: 字符串: "C:\Documents and Settings\a\My Documents\netview.exe" 。
清除方案: 1、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用ATOOL“进程管理”关闭病毒开启的CMD.EXE、和IE进程 (2) 强行删除病毒文件 %Documents and Settings%\当前用户\My Documents\Shells.dll %Documents and Settings%\当前用户\My Documents\a.ccc %Documents and Settings%\当前用户\My Documents\c.ccc %Documents and Settings%\当前用户\My Documents\360netview.dll %Documents and Settings%\当前用户\My Documents\netview.exe (3) 删除病毒添加的注册表项 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ShellRun 值: 字符串: "C:\Documents and Settings\a\My Documents\netview.exe"
我今天在淘宝上也被骗了。把支付页面改到钱袋网(北京)网络有限公司。
