网银木马（Trojan/PSW.VShell.a）病毒将于2005年8月1日起发作。该病毒会通过记录用户键盘输入，盗取工行个人网上银行的账号密码，并通过网页脚本，把获得的非法信息提交给病毒作者。

　　据江民公司反病毒专家介绍，病毒运行后，会创建kv2005.dll和kvshell2005.dll两个文件，前者为病毒主功能模块，后者为病毒启动模块。专家提醒，此病毒文件名含有KV2005字样，伪装成杀毒软件程序，企图借此来蒙蔽普通电脑用户，请用户仔细辨别。

　　和一般的向注册表启动项中添加键值的方法不同，新“网银大盗”用regsvr32.exe注册kvshell2005.dll为BHO插件，这样kvshell2005.dll在Windows系统启动时会被自动加载，它负责调用病毒主要功能模块kv2005.dll。kv2005.dll被加载后，首先建立互斥体“KvShell_2018”，确保系统中只有一个模块实例，然后设置窗口钩子函数。

　　据悉，如果系统时间晚于2005年8月1日，病毒会查找包括IE、Maxthon、TTraveler、MYIE、Touch－Net、Opera、SmartExplorer、k-meleon、GreenBrowser在内的多种浏览器，一旦发现用户使用其中任一种浏览器登录工行个人网上银行的界面，则开始记录用户的键盘输入。同时，病毒会试图结束多种国内杀毒软件的进程，还会利用多种技术手段保护自身进程，使得用户手工清除病毒十分困难。

　　针对该病毒，反病毒公司已经在第一时间升级了病毒库。读者最好立即升级到7月10日的病毒库，即可全面查杀该病毒。