網銀盜號木馬病毒的原理與防殺辦法

　　隨著網絡用戶的增多，各式病毒木馬盜號程序自然也將其視為口中的美味。在一批盜號先驅木馬倒下的同時，又會生成另類的盜號程序，此起彼伏，一個網絡使用不當，即將會給個人網絡銀行帳戶帶來不小的損失，讓很多網民傷透了腦筋。

　　木馬原理分析

　　這不最近又出現了新的網銀木馬Win32.Troj.BankJp.a.221184程序，該木馬病毒可通過第三方存諸設備及網絡進行傳播，會給系統、網絡銀行用戶帶來損失。該木馬一但進駐系統，首先會自行尋找系統中的“個人銀行專業版”的窗口並盜取網銀賬號密碼，然後該病毒將自動替換大量系統文件，並進行鍵盤記錄，進爾利用刪除破壞系統userinit.exe關鍵登陸程序，達到系統重啟後反復登陸操作界面，讓系統無法進入桌面，以至於無法正常運行，該病毒木馬能實現自動更新，嚴重威脅用戶財產及隱私安全。

　　在一台被感染的計算機中，該病毒會在其文件目錄%windir%下生存mshelp.dll、mspw.dll動態鏈接庫文件，並隨後在注冊表分支HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下添加服務項power，並嘗試備份文件%system%calc.exe -> %system%dllcachec_20218.nls、%system%userinit.exe -> %system%dllcachec_20911.nls及%windir%notepad.exe -> %system%dllcachec_20601.nls文件。成功後病毒開始自動查找並替換系統目錄%windir%下的calc.exe文件;%system%目錄下的userinit.exe、notepad.exe文件;%system%dllcache目錄下的calc.exe、userinit.exe及notepad.exe文件，以達深度隱藏。

　　至此，病毒木馬仍然沒有結束自身加固功能，會在系統根目錄下創建RECYCLER..文件夾，用於存放病毒備份。

　　病毒清理過程

　　當網絡用戶不小心感染其病毒木馬時，應盡快將其清理出計算機，依據各自的計算機應急病毒處理能力，此處提供兩種方案：

　　方法一、利用遠程注冊表修復

　　由於系統缺省情況下開啟了遠程注冊表服務項，處在局域網中的用戶可通過遠程連接注冊表編輯器修改被感染的電腦注冊表。首先在開始菜單的運行項中輸入regedit調出注冊表編輯器，單擊其中的文件菜單打開連接網絡注冊表項目，在其中輸入被感染的計算機IP地址機器名(注：連接成功後如果對方計算機需要用戶名及密碼則需輸入)。

　　隨後依次找到注冊表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionImage File Execution Options將其下的userinit.exe程序項刪除(注：有時這裡無顯視，找不到被病毒劫持的userinit.exe項目，那麼此時就須找到注冊表分支HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon，修改其下的Userinit鍵值為系統默認鍵值C:WINDOWSsystem32UserInit.exe)，如發現userinit.exe被病毒破壞，則可使用windows安裝光盤啟動後進行快速修復，以達還原userinit.exe程序文件。

　　最後將使用DOS命令將被病毒重命名並移動的c_20911.nls復位，命令如下：copy c:windowssystem32dllcachec_20911.nls c:windowssystem32完成後重啟電腦，系統即可恢復正常。

　　方法二、WINPE光盤引導後修復

　　首先用戶在電腦啟動時按delete鍵進入到BIOS，設置計算機從光盤啟動(注：各種品牌的計算機進入BIOS的略有差異，請參照穩各自說明書進行操作)，設置完成後將WinPE光盤塞入到光驅動，然後按F10鍵保存退出，此時計算機將重新啟動，進入光盤啟動界面。

　　進入到WinPE虛擬出的系統後，找到注冊表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionImage File Execution Options將其下的userinit.exe程序項刪除，找到注冊表分支HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon，修改其下的Userinit鍵值為系統默認鍵值C:WINDOWSsystem32UserInit.exe，隨後浏覽WinPE光盤，將I386目錄下的system32文件夾中的userinit.exe程序復制到系統所在盤的windowssystem32路徑下。

　　最後取出光盤，重新啟動計算機，被病毒劫持的userinit.exe將恢復正常，操作系統將正常啟動，反復重啟不再出現，問題解決。

　　病毒預防

　　病毒並不可怕，可怕的病毒制造者之心。網絡用戶須時時提高警惕以防財產損失，而面對網絡初期用戶，那麼到底可利有何種方法進行防毒、防盜呢?其實，在網絡中並沒有真正安全的系統，只有相對安全的平台。如果要將來自網絡中的威脅降低到最小，那麼用戶須注意下列幾點：

　　一、不要隨意打開莫名網站與即時通訊軟件中傳遞的網址，更不得隨意接收並點擊陌生人或來歷不明的程序(包含：EXE可執行文件、圖片、動畫、電影、音樂、電子圖書等)，以防中招。

　　二、開啟系統中的補丁自動更新功能，並設置每天進行本機所安裝的安全軟件升級功能，以達最新版本。在網絡中進行通訊時，要開啟防火牆，沒有安裝防火牆的用戶須盡快安裝，這樣可以防止當電腦中出現陌生程序進行遠程連接時，事先早知道並進行審核。

　　三、要不定期的利用殺毒軟件或第三方安全工具，對計算機全盤進行掃描檢測，對即時通迅用戶，如：QQ，要利用QQ醫生對系統打入補丁，並檢測盜號程序，避免從此處中毒中馬感染網絡銀行。

　　本篇文章來源於 黑客基地-全球最大的中文黑客站 原文鏈接：http://hackbase.com/tech/2007%2D11%2D28/9540553548/