蔚藍水世界 » 系統知識 » 網銀盜號木馬病毒的原理與防殺

查看完整版本: 網銀盜號木馬病毒的原理與防殺

fend631 2008-1-26 11:46

網銀盜號木馬病毒的原理與防殺

[b][size=3][color=DarkGreen]隨著網路使用者的增多，各式病毒木馬盜號程式自然也將其視為口中的美味。在一批盜號先驅木馬倒下的同時，又會生成另類的盜號程式，此起彼伏，一個網路使用不當，即將會給個人網路銀行帳戶帶來不小的損失，讓很多網民傷透了腦筋。 ?1g*X?a1JB:~ k9b0Z

　　木馬原理分析 3pE4P$nz6E u

　　出現的網銀木馬Win32.Troj.BankJp.a.221184程式，該木馬病毒可通過第三方存諸裝置及網路進行傳播，會給系統、網路銀行使用者帶來損失。該木馬一但進駐系統，首先會自行尋找系統中的“個人銀行專業版”的視窗並盜取網銀賬號密碼，然後該病毒將自動取代大量系統檔案，並進行鍵盤記錄，進爾利用移除破壞系統userinit.exe關鍵登陸程式，達到系統重啟後反復登陸動作界面，讓系統無法進入桌面，以至於無法正常執行，該病毒木馬能實作品自動更新，嚴重威脅使用者財產及隱私安全。 OI6p7k4u[,d

　　在一台被感染的電腦中，該病毒會在其檔案目錄%windir%下生存mshelp.dll、mspw.dll動態連結程式庫檔案，並隨後在注冊表分支HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下加入服務項power，並嘗試備份檔案%system%calc.exe -> %system%dllcachec_20218.nls、%system%userinit.exe -> %system%dllcachec_20911.nls及%windir%notepad.exe -> %system%dllcachec_20601.nls檔案。成功後病毒開始自動搜尋並取代系統目錄%windir%下的calc.exe檔案;% system%目錄下的userinit.exe、notepad.exe檔案;%system%dllcache目錄下的calc.exe、 userinit.exe及notepad.exe檔案，以達深度隱藏。 7^/USE7@0~;i'L.w
%cq4[3I^
　　至此，病毒木馬仍然沒有結束自身加固功能，會在系統根目錄下建立RECYCLER..資料夾，用於存放病毒備份。
],QlLV/^U
　　病毒清理程序 '_Y)D6o7x+J|

　　當網路使用者不小心感染其病毒木馬時，應盡快將其清理出電腦，依據各自的電腦應急病毒處理能力，此處提供兩種方案： F%C:B(Dy'm

　　方法一、利用遠端注冊表修復 fxj}_B~VWL

　　由於系統缺省情況下開啟了遠端注冊表服務項，處在區域網路中的使用者可通過遠端連線注冊表編輯器修改被感染的電腦注冊表。首先在開始功能表的執行項中輸入regedit調出注冊表編輯器，按一下其中的檔案功能表開啟連線網路注冊表項目目，在其中輸入被感染的電腦IP位址機器名(注：連線成功後如果對方電腦需要使用者名稱及密碼則需輸入)。 x ]5lZ1K

　　隨後依次找到注冊表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionImage File Execution Options將其下的userinit.exe程式項移除(注：有時這裏無顯視，找不到被病毒劫持的userinit.exe專案，那麼此時就須找到注冊表分支HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon，修改其下的Userinit鍵值為系統預設鍵值C:WINDOWSsystem32 UserInit.exe)，如發現userinit.exe被病毒破壞，則可使用windows安裝光碟啟動後進行快速修復，以達還原 userinit.exe執行檔案。
d8xc?TD@4[;N@u
　　最後將使用DOS指令將被病毒重新命名並移動的c_20911.nls復位，指令如下：copy c:windowssystem32dllcachec_20911.nls c:windowssystem32完成後重啟電腦，系統即可恢復正常。
m)v/C7@w1tb|
　　方法二、WINPE光碟引導後修復
OX7RMpB\BF&?
　　首先使用者在電腦啟動時按delete鍵進入到BIOS，設定電腦從光碟啟動(注：各種品牌的電腦進入BIOS的略有差異，請參照穩各自說明書進行動作)，設定完成後將WinPE光碟塞入到光碟機動，然後按F10鍵儲存離開，此時電腦將重新啟動，進入光碟啟動界面。

　　進入到WinPE虛擬出的系統後，找到注冊表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionImage File Execution Options將其下的userinit.exe程式項移除，找到注冊表分支HKEY_LOCAL_MACHINESoftware MicrosoftWindows NTCurrentVersionWinlogon，修改其下的Userinit鍵值為系統預設鍵值C:WINDOWSsystem32 UserInit.exe，隨後巡覽WinPE光碟，將I386目錄下的system32資料夾中的userinit.exe程式復制到系統所在盤的 windowssystem32路徑下。 &YQ2N2X)SQ#d

　　最後取出光碟，重新啟動電腦，被病毒劫持的userinit.exe將恢復正常，作業系統將正常啟動，反復重啟不再出現，問題解決。
O3wT.i p@
　　病毒預防
G*`*b3w7lGm
　　病毒並不可怕，可怕的病毒制造者之心。網路使用者須時時提高警惕以防財產損失，而面對網路初期使用者，那麼到底可利有何種方法進行防毒、防盜呢?其實，在網路中並沒有真正安全的系統，只有相對安全的平台。如果要將來自網路中的威脅降低到最小，那麼使用者須注意下列幾點： 0WO0VW}d j
#Z/J_"K*\DB8|4Z*I
　　一、不要隨意開啟莫名網站與即時通訊軟體中傳遞的網址，更不得隨意接收並點擊陌生人或來曆不明的程式(包含：EXE可執行檔案、圖片、動畫、電影、音樂、電子圖書等)，以防中招。

　　二、開啟系統中的補綴自動更新功能，並設定每天進行本機所安裝的安全軟體升級功能，以達最新版本。在網路中進行通訊時，要開啟防火牆，沒有安裝防火牆的使用者須盡快安裝，這樣可以防止當電腦中出現陌生程式進行遠端連線時，事先早知道並進行審核。
f'RR BHHM
　　三、要不定期的利用殺毒軟體或第三方安全工具，對電腦全盤進行掃描偵測，對即時通迅使用者，如：QQ，要利用QQ醫生對系統打入補綴，並偵測盜號程式，避免從此處中毒中馬感染網路銀行。[/color][/size][/b]

頁: [1]

查看完整版本: 網銀盜號木馬病毒的原理與防殺