網(wǎng)銀木馬病毒原理與防殺辦法

隨著網(wǎng)絡(luò)用戶的增多，各式病毒木馬盜號程序自然也將其視為口中的美味。在一批盜號先驅(qū)木馬倒下的同時，又會生成另類的盜號程序，此起彼伏，一個網(wǎng)絡(luò)使用不當(dāng)，即將會給個人網(wǎng)絡(luò)銀行帳戶帶來不小的損失，讓很多網(wǎng)民傷透了腦筋。

　　木馬原理分析

　　這不最近又出現(xiàn)了新的網(wǎng)銀木馬Win32.Troj.BankJp.a.221184程序，該木馬病毒可通過第三方存諸設(shè)備及網(wǎng)絡(luò)進(jìn)行傳播，會給系統(tǒng)、網(wǎng)絡(luò)銀行用戶帶來損失。該木馬一但進(jìn)駐系統(tǒng)，首先會自行尋找系統(tǒng)中的“個人銀行專業(yè)版”的窗口并盜取網(wǎng)銀賬號密碼，然后該病毒將自動替換大量系統(tǒng)文件，并進(jìn)行鍵盤記錄，進(jìn)爾利用刪除破壞系統(tǒng)userinit.exe關(guān)鍵登陸程序，達(dá)到系統(tǒng)重啟后反復(fù)登陸操作界面，讓系統(tǒng)無法進(jìn)入桌面，以至于無法正常運行，該病毒木馬能實現(xiàn)自動更新，嚴(yán)重威脅用戶財產(chǎn)及隱私安全。

　　在一臺被感染的計算機中，該病毒會在其文件目錄%windir%下生存mshelp.dll、mspw.dll動態(tài)鏈接庫文件，并隨后在注冊表分支HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下添加服務(wù)項power，并嘗試備份文件%system%calc.exe -> %system%dllcachec_20218.nls、%system%userinit.exe -> %system%dllcachec_20911.nls及%windir%notepad.exe -> %system%dllcachec_20601.nls文件。成功后病毒開始自動查找并替換系統(tǒng)目錄%windir%下的calc.exe文件;%system%目錄下的userinit.exe、notepad.exe文件;%system%dllcache目錄下的calc.exe、userinit.exe及notepad.exe文件，以達(dá)深度隱藏。

　　至此，病毒木馬仍然沒有結(jié)束自身加固功能，會在系統(tǒng)根目錄下創(chuàng)建RECYCLER..文件夾，用于存放病毒備份。

　　病毒清理過程

　　當(dāng)網(wǎng)絡(luò)用戶不小心感染其病毒木馬時，應(yīng)盡快將其清理出計算機，依據(jù)各自的計算機應(yīng)急病毒處理能力，此處提供兩種方案：

　　方法一、利用遠(yuǎn)程注冊表修復(fù)

　　由于系統(tǒng)缺省情況下開啟了遠(yuǎn)程注冊表服務(wù)項，處在局域網(wǎng)中的用戶可通過遠(yuǎn)程連接注冊表編輯器修改被感染的電腦注冊表。首先在開始菜單的運行項中輸入regedit調(diào)出注冊表編輯器，單擊其中的文件菜單打開連接網(wǎng)絡(luò)注冊表項目，在其中輸入被感染的計算機IP地址機器名(注：連接成功后如果對方計算機需要用戶名及密碼則需輸入)。

　　隨后依次找到注冊表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionImage File Execution Options將其下的userinit.exe程序項刪除(注：有時這里無顯視，找不到被病毒劫持的userinit.exe項目，那么此時就須找到注冊表分支HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon，修改其下的Userinit鍵值為系統(tǒng)默認(rèn)鍵值C:WINDOWSsystem32UserInit.exe)，如發(fā)現(xiàn)userinit.exe被病毒破壞，則可使用windows安裝光盤啟動后進(jìn)行快速修復(fù)，以達(dá)還原userinit.exe程序文件。

　　最后將使用DOS命令將被病毒重命名并移動的c_20911.nls復(fù)位，命令如下：copy c:windowssystem32dllcachec_20911.nls c:windowssystem32完成后重啟電腦，系統(tǒng)即可恢復(fù)正常。

病毒預(yù)防

　　病毒并不可怕，可怕的病毒制造者之心。網(wǎng)絡(luò)用戶須時時提高警惕以防財產(chǎn)損失，而面對網(wǎng)絡(luò)初期用戶，那么到底可利有何種方法進(jìn)行防毒、防盜呢?其實，在網(wǎng)絡(luò)中并沒有真正安全的系統(tǒng)，只有相對安全的平臺。如果要將來自網(wǎng)絡(luò)中的威脅降低到最小，那么用戶須注意下列幾點：

　　一、不要隨意打開莫名網(wǎng)站與即時通訊軟件中傳遞的網(wǎng)址，更不得隨意接收并點擊陌生人或來歷不明的程序(包含：EXE可執(zhí)行文件、圖片、動畫、電影、音樂、電子圖書等)，以防中招。

　　二、開啟系統(tǒng)中的補丁自動更新功能，并設(shè)置每天進(jìn)行本機所安裝的安全軟件升級功能，以達(dá)最新版本。在網(wǎng)絡(luò)中進(jìn)行通訊時，要開啟防火墻，沒有安裝防火墻的用戶須盡快安裝，這樣可以防止當(dāng)電腦中出現(xiàn)陌生程序進(jìn)行遠(yuǎn)程連接時，事先早知道并進(jìn)行審核。

　　三、要不定期的利用殺毒軟件或第三方安全工具，對計算機全盤進(jìn)行掃描檢測，對即時通迅用戶，如：QQ，要利用QQ醫(yī)生對系統(tǒng)打入補丁，并檢測盜號程序，避免從此處中毒中馬感染網(wǎng)絡(luò)銀行。