網(wǎng)銀木馬病毒原理與防殺辦法

隨著(zhù)網(wǎng)絡(luò )用戶(hù)的增多，各式病毒木馬盜號程序自然也將其視為口中的美味。在一批盜號先驅木馬倒下的同時(shí)，又會(huì )生成另類(lèi)的盜號程序，此起彼伏，一個(gè)網(wǎng)絡(luò )使用不當，即將會(huì )給個(gè)人網(wǎng)絡(luò )銀行帳戶(hù)帶來(lái)不小的損失，讓很多網(wǎng)民傷透了腦筋。

　　木馬原理分析

　　這不最近又出現了新的網(wǎng)銀木馬Win32.Troj.BankJp.a.221184程序，該木馬病毒可通過(guò)第三方存諸設備及網(wǎng)絡(luò )進(jìn)行傳播，會(huì )給系統、網(wǎng)絡(luò )銀行用戶(hù)帶來(lái)?yè)p失。該木馬一但進(jìn)駐系統，首先會(huì )自行尋找系統中的“個(gè)人銀行專(zhuān)業(yè)版”的窗口并盜取網(wǎng)銀賬號密碼，然后該病毒將自動(dòng)替換大量系統文件，并進(jìn)行鍵盤(pán)記錄，進(jìn)爾利用刪除破壞系統userinit.exe關(guān)鍵登陸程序，達到系統重啟后反復登陸操作界面，讓系統無(wú)法進(jìn)入桌面，以至于無(wú)法正常運行，該病毒木馬能實(shí)現自動(dòng)更新，嚴重威脅用戶(hù)財產(chǎn)及隱私安全。

　　在一臺被感染的計算機中，該病毒會(huì )在其文件目錄%windir%下生存mshelp.dll、mspw.dll動(dòng)態(tài)鏈接庫文件，并隨后在注冊表分支HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下添加服務(wù)項power，并嘗試備份文件%system%calc.exe -> %system%dllcachec_20218.nls、%system%userinit.exe -> %system%dllcachec_20911.nls及%windir%notepad.exe -> %system%dllcachec_20601.nls文件。成功后病毒開(kāi)始自動(dòng)查找并替換系統目錄%windir%下的calc.exe文件;%system%目錄下的userinit.exe、notepad.exe文件;%system%dllcache目錄下的calc.exe、userinit.exe及notepad.exe文件，以達深度隱藏。

　　至此，病毒木馬仍然沒(méi)有結束自身加固功能，會(huì )在系統根目錄下創(chuàng )建RECYCLER..文件夾，用于存放病毒備份。

　　病毒清理過(guò)程

　　當網(wǎng)絡(luò )用戶(hù)不小心感染其病毒木馬時(shí)，應盡快將其清理出計算機，依據各自的計算機應急病毒處理能力，此處提供兩種方案：

　　方法一、利用遠程注冊表修復

　　由于系統缺省情況下開(kāi)啟了遠程注冊表服務(wù)項，處在局域網(wǎng)中的用戶(hù)可通過(guò)遠程連接注冊表編輯器修改被感染的電腦注冊表。首先在開(kāi)始菜單的運行項中輸入regedit調出注冊表編輯器，單擊其中的文件菜單打開(kāi)連接網(wǎng)絡(luò )注冊表項目，在其中輸入被感染的計算機IP地址機器名(注：連接成功后如果對方計算機需要用戶(hù)名及密碼則需輸入)。

　　隨后依次找到注冊表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionImage File Execution Options將其下的userinit.exe程序項刪除(注：有時(shí)這里無(wú)顯視，找不到被病毒劫持的userinit.exe項目，那么此時(shí)就須找到注冊表分支HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon，修改其下的Userinit鍵值為系統默認鍵值C:WINDOWSsystem32UserInit.exe)，如發(fā)現userinit.exe被病毒破壞，則可使用windows安裝光盤(pán)啟動(dòng)后進(jìn)行快速修復，以達還原userinit.exe程序文件。

　　最后將使用DOS命令將被病毒重命名并移動(dòng)的c_20911.nls復位，命令如下：copy c:windowssystem32dllcachec_20911.nls c:windowssystem32完成后重啟電腦，系統即可恢復正常。

病毒預防

　　病毒并不可怕，可怕的病毒制造者之心。網(wǎng)絡(luò )用戶(hù)須時(shí)時(shí)提高警惕以防財產(chǎn)損失，而面對網(wǎng)絡(luò )初期用戶(hù)，那么到底可利有何種方法進(jìn)行防毒、防盜呢?其實(shí)，在網(wǎng)絡(luò )中并沒(méi)有真正安全的系統，只有相對安全的平臺。如果要將來(lái)自網(wǎng)絡(luò )中的威脅降低到最小，那么用戶(hù)須注意下列幾點(diǎn)：

　　一、不要隨意打開(kāi)莫名網(wǎng)站與即時(shí)通訊軟件中傳遞的網(wǎng)址，更不得隨意接收并點(diǎn)擊陌生人或來(lái)歷不明的程序(包含：EXE可執行文件、圖片、動(dòng)畫(huà)、電影、音樂(lè )、電子圖書(shū)等)，以防中招。

　　二、開(kāi)啟系統中的補丁自動(dòng)更新功能，并設置每天進(jìn)行本機所安裝的安全軟件升級功能，以達最新版本。在網(wǎng)絡(luò )中進(jìn)行通訊時(shí)，要開(kāi)啟防火墻，沒(méi)有安裝防火墻的用戶(hù)須盡快安裝，這樣可以防止當電腦中出現陌生程序進(jìn)行遠程連接時(shí)，事先早知道并進(jìn)行審核。

　　三、要不定期的利用殺毒軟件或第三方安全工具，對計算機全盤(pán)進(jìn)行掃描檢測，對即時(shí)通迅用戶(hù)，如：QQ，要利用QQ醫生對系統打入補丁，并檢測盜號程序，避免從此處中毒中馬感染網(wǎng)絡(luò )銀行。