[分享] 网银盗号木马病毒原理

百度笨笨

随着网络用户的增多，各式病毒木马盗号程序自然也将其视为口中的美味。在一批盗号先驱木马倒下的同时，又会生成另类的盗号程序，此起彼伏，一个网络使用不当，即将会给个人网络银行帐户带来不小的损失，让很多网民伤透了脑筋。 　　木马原理分析
　　这不最近又出现了新的网银木马Win32.Troj.BankJp.a.221184程序，该木马病毒可通过第三方存诸设备及网络进行传播，会给系统、网络银行用户带来损失。该木马一但进驻系统，首先会自行寻找系统中的“个人银行专业版”的窗口并盗取网银账号密码，然后该病毒将自动替换大量系统文件，并进行键盘记录，进尔利用删除破坏系统userinit.EⅩE关键登陆程序，达到系统重启后反复登陆操作界面，让系统无法进入桌面，以至于无法正常运行，该病毒木马能实现自动更新，严重威胁用户财产及隐私安全。
　　在一台被感染的计算机中，该病毒会在其文件目录%windir%下生存mshelp.dll、mspw.dll动态链接库文件，并随后在注册表分支HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下添加服务项power，并尝试备份文件%system%calc.EⅩE -> %system%dllcachec_20218.nls、%system%userinit.EⅩE -> %system%dllcachec_20911.nls及%windir%notepad.EⅩE -> %system%dllcachec_20601.nls文件。成功后病毒开始自动查找并替换系统目录%windir%下的calc.EⅩE文件;% system%目录下的userinit.EⅩE、notepad.EⅩE文件;%system%dllcache目录下的calc.EⅩE、 userinit.EⅩE及notepad.EⅩE文件，以达深度隐藏。
　　至此，病毒木马仍然没有结束自身加固功能，会在系统根目录下创建RECYCLER..文件夹，用于存放病毒备份。
　　病毒清理过程
　　当网络用户不小心感染其病毒木马时，应尽快将其清理出计算机，依据各自的计算机应急病毒处理能力，此处提供两种方案：
　　方法一、利用远程注册表修复
　　由于系统缺省情况下开启了远程注册表服务项，处在局域网中的用户可通过远程连接注册表编辑器修改被感染的电脑注册表。首先在开始菜单的运行项中输入regedit调出注册表编辑器，单击其中的文件菜单打开连接网络注册表项目，在其中输入被感染的计算机IP地址机器名(注：连接成功后如果对方计算机需要用户名及密码则需输入)。
　　随后依次找到注册表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionImage File Execution Options将其下的userinit.EⅩE程序项删除(注：有时这里无显视，找不到被病毒劫持的userinit.EⅩE项目，那么此时就须找到注册表分支HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon，修改其下的Userinit键值为系统默认键值C:WINDOWSsystem32 UserInit.EⅩE)，如发现userinit.EⅩE被病毒破坏，则可使用windows安装光盘启动后进行快速修复，以达还原 userinit.EⅩE程序文件。
　　最后将使用DOS命令将被病毒重命名并移动的c_20911.nls复位，命令如下：copy c:windowssystem32dllcachec_20911.nls c:windowssystem32完成后重启电脑，系统即可恢复正常。
　　方法二、WINPE光盘引导后修复
　　首先用户在电脑启动时按delete键进入到BIOS，设置计算机从光盘启动(注：各种品牌的计算机进入BIOS的略有差异，请参照稳各自说明书进行操作)，设置完成后将WinPE光盘塞入到光驱动，然后按F10键保存退出，此时计算机将重新启动，进入光盘启动界面。
　　进入到WinPE虚拟出的系统后，找到注册表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionImage File Execution Options将其下的userinit.EⅩE程序项删除，找到注册表分支HKEY_LOCAL_MACHINESoftware MicrosoftWindows NTCurrentVersionWinlogon，修改其下的Userinit键值为系统默认键值C:WINDOWSsystem32 UserInit.EⅩE，随后浏览WinPE光盘，将I386目录下的system32文件夹中的userinit.EⅩE程序复制到系统所在盘的 windowssystem32路径下。
　　最后取出光盘，重新启动计算机，被病毒劫持的userinit.EⅩE将恢复正常，操作系统将正常启动，反复重启不再出现，问题解决。
　　病毒预防
　　病毒并不可怕，可怕的病毒制造者之心。网络用户须时时提高警惕以防财产损失，而面对网络初期用户，那么到底可利有何种方法进行防毒、防盗呢?其实，在网络中并没有真正安全的系统，只有相对安全的平台。如果要将来自网络中的威胁降低到最小，那么用户须注意下列几点：
　　一、不要随意打开莫名网站与即时通讯软件中传递的网址，更不得随意接收并点击陌生人或来历不明的程序(包含：EXE可执行文件、图片、动画、电影、音乐、电子图书等)，以防中招。
　　二、开启系统中的补丁自动更新功能，并设置每天进行本机所安装的安全软件升级功能，以达最新版本。在网络中进行通讯时，要开启防火墙，没有安装防火墙的用户须尽快安装，这样可以防止当电脑中出现陌生程序进行远程连接时，事先早知道并进行审核。
　　三、要不定期的利用杀毒软件或第三方安全工具，对计算机全盘进行扫描检测，对即时通迅用户，如：QQ，要利用QQ医生对系统打入补丁，并检测盗号程序，避免从此处中毒中马感染网络银行。

心飞

先放这儿，慢慢琢磨。。。

魔少

新建黑客群100896448

花亮之

酷吧运动（www.kuu8.com）专卖商城成立一年多来，成绩显著，现拥有众多下线代理。因迫切于市场壮大的发展需求，酷吧在原有的运动鞋专卖基础上，面向广大厂家商家，寻求各类品牌服饰货源，包含有服装、饰品、公仔、皮鞋、女靴等等涉及人体“衣着装饰”需求的产品领域。

只要您的产品是一手货源、款式新颖、质量保证、价格公道，我们愿竭心竭力为您带来更多的销售额，让酷吧成为您产品销售的黄金渠道。

酷吧凭借完善系统的网络销售模式，志向挺进生活中的衣住领域，致力打造“**一站式生活服饰选购平台”，为您的产品渠道提供一个广阔的销信平台。

意向合作请致电联系13110715577，或QQ联系1256628928。欢迎您的电洽！