云南龙网

  1. 首页 > 云知道 > >

网银盗号木马病毒的原理与防杀

云知道

随着网络用户的增多,各式病毒木马盗号程序自然也将其视为口中的美味 。在一批盗号先驱木马倒下的同时,又会生成另类的盗号程序,此起彼伏,一个网络使用不当,即将会给个人网络银行帐户带来不小的损失,让很多网民伤透了脑筋 。

木马原理分析

这不最近又出现了新的网银木马Win32.Troj.BankJp.a.221184程序,该木马病毒可通过第三方存诸设备及网络进行传播,会给系统、网络银行用户带来损失 。该木马一但进驻系统,首先会自行寻找系统中的“个人银行专业版”的窗口并盗取网银账号密码,然后该病毒将自动替换大量系统文件,并进行键盘记录,进尔利用删除破坏系统userinit.exe关键登陆程序,达到系统重启后反复登陆操作界面,让系统无法进入桌面,以至于无法正常运行,该病毒木马能实现自动更新,严重威胁用户财产及隐私安全 。

在一台被感染的计算机中,该病毒会在其文件目录%windir%下生存mshelp.dll、mspw.dll动态链接库文件,并随后在注册表分支HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下添加服务项power,并尝试备份文件%system蔿c.exe -> %system%dllcachec_20218.nls、%system\userinit.exe -> %system%dllcachec_20911.nls及%windir%notepad.exe -> %system%dllcachec_20601.nls文件 。成功后病毒开始自动查找并替换系统目录%windir%下的calc.exe文件;% system%目录下的userinit.exe、notepad.exe文件;%system%dllcache目录下的calc.exe、 userinit.exe及notepad.exe文件,以达深度隐藏 。

至此,病毒木马仍然没有结束自身加固功能,会在系统根目录下创建RECYCLER..文件夹,用于存放病毒备份 。

病毒清理过程

当网络用户不小心感染其病毒木马时,应尽快将其清理出计算机,依据各自的计算机应急病毒处理能力,此处提供两种方案:

方法一、利用远程注册表修复

由于系统缺省情况下开启了远程注册表服务项,处在局域网中的用户可通过远程连接注册表编辑器修改被感染的电脑注册表 。首先在开始菜单的运行项中输入regedit调出注册表编辑器,单击其中的文件菜单打开连接网络注册表项目,在其中输入被感染的计算机IP地址机器名(注:连接成功后如果对方计算机需要用户名及密码则需输入) 。

随后依次找到注册表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionImage File Execution Options将其下的userinit.exe程序项删除(注:有时这里无显视,找不到被病毒劫持的userinit.exe项目,那么此时就须找到注册表分支HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon,修改其下的Userinit键值为系统默认键值C:WINDOWSsystem32 UserInit.exe),如发现userinit.exe被病毒破坏,则可使用windows安装光盘启动后进行快速修复,以达还原 userinit.exe程序文件 。

最后将使用DOS命令将被病毒重命名并移动的c_20911.nls复位,命令如下:copy c:windowssystem32dllcachec_20911.nls c:windowssystem32完成后重启电脑,系统即可恢复正常 。

方法二、WINPE光盘引导后修复

首先用户在电脑启动时按delete键进入到BIOS,设置计算机从光盘启动(注:各种品牌的计算机进入BIOS的略有差异,请参照稳各自说明书进行操作),设置完成后将WinPE光盘塞入到光驱动,然后按F10键保存退出,此时计算机将重新启动,进入光盘启动界面 。

进入到WinPE虚拟出的系统后,找到注册表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionImage File Execution Options将其下的userinit.exe程序项删除,找到注册表分支HKEY_LOCAL_MACHINESoftware MicrosoftWindows NTCurrentVersionWinlogon,修改其下的Userinit键值为系统默认键值C:WINDOWSsystem32 UserInit.exe,随后浏览WinPE光盘,将I386目录下的system32文件夹中的userinit.exe程序复制到系统所在盘的 windowssystem32路径下 。

推荐阅读


上一篇:辣椒紫斑病如何防治?

下一篇:酷派酷玩6和红米note4x哪个好?红米note4x和酷派酷玩6区别对比