|
隨著網(wǎng)絡(luò)用戶的增多�����,各式病毒木馬盜號程序自然也將其視為口中的美味�����。在一批盜號先驅(qū)木馬倒下的同時(shí)�,又會生成另類的盜號程序����,此起彼伏,一個(gè)網(wǎng)絡(luò)使用不當(dāng)���,即將會給個(gè)人網(wǎng)絡(luò)銀行帳戶帶來不小的損失����,讓很多網(wǎng)民傷透了腦筋���。
木馬原理分析
這不最近又出現(xiàn)了新的網(wǎng)銀木馬Win32.Troj.BankJp.a.221184程序����,該木馬病毒可通過第三方存諸設(shè)備及網(wǎng)絡(luò)進(jìn)行傳播,會給系統(tǒng)�、網(wǎng)絡(luò)銀行用戶帶來損失。該木馬一但進(jìn)駐系統(tǒng)��,首先會自行尋找系統(tǒng)中的“個(gè)人銀行專業(yè)版”的窗口并盜取網(wǎng)銀賬號密碼����,然后該病毒將自動替換大量系統(tǒng)文件,并進(jìn)行鍵盤記錄����,進(jìn)爾利用刪除破壞系統(tǒng)userinit.exe關(guān)鍵登陸程序��,達(dá)到系統(tǒng)重啟后反復(fù)登陸操作界面�����,讓系統(tǒng)無法進(jìn)入桌面�����,以至于無法正常運(yùn)行,該病毒木馬能實(shí)現(xiàn)自動更新��,嚴(yán)重威脅用戶財(cái)產(chǎn)及隱私安全�����。
在一臺被感染的計(jì)算機(jī)中�����,該病毒會在其文件目錄%windir%下生存mshelp.dll�、mspw.dll動態(tài)鏈接庫文件,并隨后在注冊表分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下添加服務(wù)項(xiàng)power����,并嘗試備份文件%system%\calc.exe -> %system%\dllcache\c_20218.nls、%system%\userinit.exe -> %system%\dllcache\c_20911.nls及%windir%\notepad.exe -> %system%\dllcache\c_20601.nls文件����。成功后病毒開始自動查找并替換系統(tǒng)目錄%windir%下的calc.exe文件;%system%目錄下的userinit.exe�����、notepad.exe文件�;%system%\dllcache目錄下的calc.exe�����、userinit.exe及notepad.exe文件����,以達(dá)深度隱藏�����。
至此���,病毒木馬仍然沒有結(jié)束自身加固功能�����,會在系統(tǒng)根目錄下創(chuàng)建RECYCLER..文件夾����,用于存放病毒備份�����。
病毒清理過程
當(dāng)網(wǎng)絡(luò)用戶不小心感染其病毒木馬時(shí)�,應(yīng)盡快將其清理出計(jì)算機(jī),依據(jù)各自的計(jì)算機(jī)應(yīng)急病毒處理能力����,此處提供兩種方案:
方法一、利用遠(yuǎn)程注冊表修復(fù)
由于系統(tǒng)缺省情況下開啟了遠(yuǎn)程注冊表服務(wù)項(xiàng)����,處在局域網(wǎng)中的用戶可通過遠(yuǎn)程連接注冊表編輯器修改被感染的電腦注冊表。首先在開始菜單的運(yùn)行項(xiàng)中輸入regedit調(diào)出注冊表編輯器�,單擊其中的文件菜單打開連接網(wǎng)絡(luò)注冊表項(xiàng)目,在其中輸入被感染的計(jì)算機(jī)IP地址\\機(jī)器名(注:連接成功后如果對方計(jì)算機(jī)需要用戶名及密碼則需輸入)�����。
隨后依次找到注冊表分支HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options將其下的userinit.exe程序項(xiàng)刪除(注:有時(shí)這里無顯視��,找不到被病毒劫持的userinit.exe項(xiàng)目��,那么此時(shí)就須找到注冊表分支HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon�,修改其下的Userinit鍵值為系統(tǒng)默認(rèn)鍵值C:\WINDOWS\system32\UserInit.exe),如發(fā)現(xiàn)userinit.exe被病毒破壞����,則可使用windows安裝光盤啟動后進(jìn)行快速修復(fù),以達(dá)還原userinit.exe程序文件����。
最后將使用DOS命令將被病毒重命名并移動的c_20911.nls復(fù)位����,命令如下:copy c:\windows\system32\dllcache\c_20911.nls c:\windows\system32完成后重啟電腦���,系統(tǒng)即可恢復(fù)正常�����。
方法二��、WINPE光盤引導(dǎo)后修復(fù)
首先用戶在電腦啟動時(shí)按delete鍵進(jìn)入到BIOS��,設(shè)置計(jì)算機(jī)從光盤啟動(注:各種品牌的計(jì)算機(jī)進(jìn)入BIOS的略有差異�,請參照穩(wěn)各自說明書進(jìn)行操作)��,設(shè)置完成后將WinPE光盤塞入到光驅(qū)動����,然后按F10鍵保存退出�,此時(shí)計(jì)算機(jī)將重新啟動,進(jìn)入光盤啟動界面�。
進(jìn)入到WinPE虛擬出的系統(tǒng)后����,找到注冊表分支HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options將其下的userinit.exe程序項(xiàng)刪除�����,找到注冊表分支HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon���,修改其下的Userinit鍵值為系統(tǒng)默認(rèn)鍵值C:\WINDOWS\system32\UserInit.exe�����,隨后瀏覽WinPE光盤�����,將I386目錄下的system32文件夾中的userinit.exe程序復(fù)制到系統(tǒng)所在盤的windows\system32路徑下���。
最后取出光盤,重新啟動計(jì)算機(jī)��,被病毒劫持的userinit.exe將恢復(fù)正常���,操作系統(tǒng)將正常啟動����,反復(fù)重啟不再出現(xiàn),問題解決����。
病毒預(yù)防
病毒并不可怕,可怕的病毒制造者之心����。網(wǎng)絡(luò)用戶須時(shí)時(shí)提高警惕以防財(cái)產(chǎn)損失,而面對網(wǎng)絡(luò)初期用戶�����,那么到底可利有何種方法進(jìn)行防毒���、防盜呢����?其實(shí)���,在網(wǎng)絡(luò)中并沒有真正安全的系統(tǒng)�����,只有相對安全的平臺���。如果要將來自網(wǎng)絡(luò)中的威脅降低到最小,那么用戶須注意下列幾點(diǎn):
一�����、不要隨意打開莫名網(wǎng)站與即時(shí)通訊軟件中傳遞的網(wǎng)址��,更不得隨意接收并點(diǎn)擊陌生人或來歷不明的程序(包含:EXE可執(zhí)行文件���、圖片����、動畫���、電影����、音樂����、電子圖書等)�����,以防中招����。
二��、開啟系統(tǒng)中的補(bǔ)丁自動更新功能���,并設(shè)置每天進(jìn)行本機(jī)所安裝的安全軟件升級功能���,以達(dá)最新版本。在網(wǎng)絡(luò)中進(jìn)行通訊時(shí)���,要開啟防火墻��,沒有安裝防火墻的用戶須盡快安裝�����,這樣可以防止當(dāng)電腦中出現(xiàn)陌生程序進(jìn)行遠(yuǎn)程連接時(shí)�����,事先早知道并進(jìn)行審核��。
三�、要不定期的利用殺毒軟件或第三方安全工具�,對計(jì)算機(jī)全盤進(jìn)行掃描檢測,對即時(shí)通迅用戶��,如:QQ����,要利用QQ醫(yī)生對系統(tǒng)打入補(bǔ)丁,并檢測盜號程序�����,避免從此處中毒中馬感染網(wǎng)絡(luò)銀行�。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商�!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
