http://tw.news.yahoo.com/040609/4/pnlt.html
兩岸駭客勾結入侵網路銀行 數十萬筆落入對岸

刑事局偵辦網路銀行遭駭客入侵案件，發現嫌犯不僅使用對岸最新的木馬程式，還透過大陸公安資訊人員的協助加以更改，功能更為強大。嫌犯從今年二月開始，利用電子廣告郵件，或者是假借微軟公司修補程式的訊息，誘騙被害人執行，將木馬程式順利植入，目前已知有數十萬筆銀行客戶資料落入大陸駭客手中。 （杜大澂報導）

警方是根據台新銀行的報案追查，發現銀行網路防火牆沒有受損，才得知受害的原來是客戶電腦，進而追查出嫌犯陳崇順，攻擊武器又是木馬程式。警方發現，嫌犯使用的是來自對岸最新型的變種，再透過大陸公安資訊技術人員協助，重新編碼包裝，功能更加強悍，還可以躲過防毒軟體偵測。警方指出，嫌犯利用今年二月十三號黑色星期五，假冒微軟公司大肆散發修補程式，將木馬程式夾帶在郵件當中，誘騙被害人下載執行，信用卡產生器和色情訊息等垃圾郵件，也是嫌犯慣用方式，總計散發近了二千萬份，平均每個人至少會收到兩封，數量之大，令人難以置信。 刑事局偵九隊長長李相臣說明了案情。警方發現，包括拍賣網站、網路主機、甚至是網路銀行，只有是帳號密碼，都可以取得，數十萬筆銀行客戶資料還被嫌犯轉交給大陸駭客，也不得不警方令人憂心．

金山毒霸報道：6月9日，金山毒霸反病毒試驗室應急處理中心截獲又一個網銀大盜C變種，經過分析，該病毒和“網銀大盜B”不同的是，該病毒是通過微軟IE瀏覽器MHT漏洞傳播的木馬程式。當病毒監測到被感染者登陸網上銀行網頁時，便開始記錄賬號和密碼。

----------------------------------------------

　　 據金山反病毒專家介紹：該病毒運行後調用mslib32.dll病毒模組，該模組負責設置消息挂鈎，並對IE頁面控制項進行監視，一旦認定用戶正在某些國外銀行的網頁上進行交互操作，就把各種IE控制項的有關資訊（包括用戶名、密碼輸入框，各種選擇框，ComboBox選擇列表等）記錄到%SystemDir%\msvcdc.dll和%SystemDir%\msvxdexe.dll兩個文件中。

1. 病毒運行後，將在用戶電腦中創建以下文件：
%SystemDir%\mssdk32.dll, 119位元組，
%SystemDir%\mslib32.dll, 24576位元組，
%WinDir%\system\user32.exe, 38400位元組，
2. 在註冊表的
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下創建：
"User Mansger " = “%WinDir%\system\user32.exe”
或修改
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell爲：
“Shell” = “Explorer.exe %WinDir%\system\user32.exe”
3. 病毒運行後調用mslib32.dll病毒模組，該模組負責設置消息挂鈎，並對IE頁面控制項進行監視，一旦認定用戶正在某些國外銀行的網頁上進行交互操作，就把各種IE控制項的有關資訊（包括用戶名、密碼輸入框，各種選擇框，ComboBox選擇列表等）記錄到%SystemDir%\msvcdc.dll和%SystemDir%\msvxdexe.dll兩個文件中。

4. 病毒主程序每隔1秒檢查%SystemDir%\msvcdc.dll和%SystemDir%\msvxdexe.dll是否存在，如果存在，就把這2個文件中的內容通過電子郵件發送給病毒作者[email protected]。

p.s大陸出現針對網路銀行的病毒
台灣方面值得研究