分享
 
 
 

网银盗号木马病毒的原理与防杀办法

王朝other·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

随着网络用户的增多,各式病毒木马盗号程序自然也将其视为口中的美味。在一批盗号先驱木马倒下的同时,又会生成另类的盗号程序,此起彼伏,一个网络使用不当,即将会给个人网络银行帐户带来不小的损失,让很多网民伤透了脑筋。

木马原理分析

这不最近又出现了新的网银木马Win32.Troj.BankJp.a.221184程序,该木马病毒可通过第三方存诸设备及网络进行传播,会给系统、网络银行用户带来损失。该木马一但进驻系统,首先会自行寻找系统中的“个人银行专业版”的窗口并盗取网银账号密码,然后该病毒将自动替换大量系统文件,并进行键盘记录,进尔利用删除破坏系统userinit.exe关键登陆程序,达到系统重启后反复登陆操作界面,让系统无法进入桌面,以至于无法正常运行,该病毒木马能实现自动更新,严重威胁用户财产及隐私安全。

在一台被感染的计算机中,该病毒会在其文件目录%windir%下生存mshelp.dll、mspw.dll动态链接库文件,并随后在注册表分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下添加服务项power,并尝试备份文件%system%\calc.exe -> %system%\dllcache\c_20218.nls、%system%\userinit.exe -> %system%\dllcache\c_20911.nls及%windir%\notepad.exe -> %system%\dllcache\c_20601.nls文件。成功后病毒开始自动查找并替换系统目录%windir%下的calc.exe文件;%system%目录下的userinit.exe、notepad.exe文件;%system%\dllcache目录下的calc.exe、userinit.exe及notepad.exe文件,以达深度隐藏。

至此,病毒木马仍然没有结束自身加固功能,会在系统根目录下创建RECYCLER..文件夹,用于存放病毒备份。

病毒清理过程

当网络用户不小心感染其病毒木马时,应尽快将其清理出计算机,依据各自的计算机应急病毒处理能力,此处提供两种方案:

方法一、利用远程注册表修复

由于系统缺省情况下开启了远程注册表服务项,处在局域网中的用户可通过远程连接注册表编辑器修改被感染的电脑注册表。首先在开始菜单的运行项中输入regedit调出注册表编辑器,单击其中的文件菜单打开连接网络注册表项目,在其中输入被感染的计算机IP地址\\机器名(注:连接成功后如果对方计算机需要用户名及密码则需输入)。

随后依次找到注册表分支HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options将其下的userinit.exe程序项删除(注:有时这里无显视,找不到被病毒劫持的userinit.exe项目,那么此时就须找到注册表分支HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon,修改其下的Userinit键值为系统默认键值C:\WINDOWS\system32\UserInit.exe),如发现userinit.exe被病毒破坏,则可使用windows安装光盘启动后进行快速修复,以达还原userinit.exe程序文件。

最后将使用DOS命令将被病毒重命名并移动的c_20911.nls复位,命令如下:copy c:\windows\system32\dllcache\c_20911.nls c:\windows\system32完成后重启电脑,系统即可恢复正常。

方法二、WINPE光盘引导后修复

首先用户在电脑启动时按delete键进入到BIOS,设置计算机从光盘启动(注:各种品牌的计算机进入BIOS的略有差异,请参照稳各自说明书进行操作),设置完成后将WinPE光盘塞入到光驱动,然后按F10键保存退出,此时计算机将重新启动,进入光盘启动界面。

进入到WinPE虚拟出的系统后,找到注册表分支HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options将其下的userinit.exe程序项删除,找到注册表分支HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon,修改其下的Userinit键值为系统默认键值C:\WINDOWS\system32\UserInit.exe,随后浏览WinPE光盘,将I386目录下的system32文件夹中的userinit.exe程序复制到系统所在盘的windows\system32路径下。

最后取出光盘,重新启动计算机,被病毒劫持的userinit.exe将恢复正常,操作系统将正常启动,反复重启不再出现,问题解决。

病毒预防

病毒并不可怕,可怕的病毒制造者之心。网络用户须时时提高警惕以防财产损失,而面对网络初期用户,那么到底可利有何种方法进行防毒、防盗呢?其实,在网络中并没有真正安全的系统,只有相对安全的平台。如果要将来自网络中的威胁降低到最小,那么用户须注意下列几点:

一、不要随意打开莫名网站与即时通讯软件中传递的网址,更不得随意接收并点击陌生人或来历不明的程序(包含:EXE可执行文件、图片、动画、电影、音乐、电子图书等),以防中招。

二、开启系统中的补丁自动更新功能,并设置每天进行本机所安装的安全软件升级功能,以达最新版本。在网络中进行通讯时,要开启防火墙,没有安装防火墙的用户须尽快安装,这样可以防止当电脑中出现陌生程序进行远程连接时,事先早知道并进行审核。

三、要不定期的利用杀毒软件或第三方安全工具,对计算机全盘进行扫描检测,对即时通迅用户,如:QQ,要利用QQ医生对系统打入补丁,并检测盗号程序,避免从此处中毒中马感染网络银行。

本篇文章来源于 黑客基地-全球最大的中文黑客站 原文链接:http://hackbase.com/tech/2007%2D11%2D28/9540553548/

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有