|
隨著網(wǎng)絡用戶的增多���,各式病毒木馬盜號程序自然也將其視為口中的美味�。在一批盜號先驅木馬倒下的同時��,又會生成另類的盜號程序����,此起彼伏��,一個網(wǎng)絡使用不當�,即將會給個人網(wǎng)絡銀行帳戶帶來不小的損失��,讓很多網(wǎng)民傷透了腦筋����。
木馬原理分析
這不最近又出現(xiàn)了新的網(wǎng)銀木馬Win32.Troj.BankJp.a.221184程序,該木馬病毒可通過第三方存諸設備及網(wǎng)絡進行傳播�����,會給系統(tǒng)��、網(wǎng)絡銀行用戶帶來損失����。該木馬一但進駐系統(tǒng),首先會自行尋找系統(tǒng)中的“個人銀行專業(yè)版”的窗口并盜取網(wǎng)銀賬號密碼�,然后該病毒將自動替換大量系統(tǒng)文件,并進行鍵盤記錄���,進爾利用刪除破壞系統(tǒng)userinit.exe關鍵登陸程序���,達到系統(tǒng)重啟后反復登陸操作界面���,讓系統(tǒng)無法進入桌面,以至于無法正常運行�����,該病毒木馬能實現(xiàn)自動更新�����,嚴重威脅用戶財產(chǎn)及隱私安全���。
在一臺被感染的計算機中,該病毒會在其文件目錄%windir%下生存mshelp.dll�、mspw.dll動態(tài)鏈接庫文件,并隨后在注冊表分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下添加服務項power�����,并嘗試備份文件%system%\calc.exe -> %system%\dllcache\c_20218.nls���、%system%\userinit.exe -> %system%\dllcache\c_20911.nls及%windir%\notepad.exe -> %system%\dllcache\c_20601.nls文件���。成功后病毒開始自動查找并替換系統(tǒng)目錄%windir%下的calc.exe文件��;%system%目錄下的userinit.exe��、notepad.exe文件�����;%system%\dllcache目錄下的calc.exe��、userinit.exe及notepad.exe文件����,以達深度隱藏��。
至此����,病毒木馬仍然沒有結束自身加固功能,會在系統(tǒng)根目錄下創(chuàng)建RECYCLER..文件夾����,用于存放病毒備份。
病毒清理過程
當網(wǎng)絡用戶不小心感染其病毒木馬時�����,應盡快將其清理出計算機,依據(jù)各自的計算機應急病毒處理能力�,此處提供兩種方案:
方法一、利用遠程注冊表修復
由于系統(tǒng)缺省情況下開啟了遠程注冊表服務項����,處在局域網(wǎng)中的用戶可通過遠程連接注冊表編輯器修改被感染的電腦注冊表。首先在開始菜單的運行項中輸入regedit調出注冊表編輯器�,單擊其中的文件菜單打開連接網(wǎng)絡注冊表項目,在其中輸入被感染的計算機IP地址\\機器名(注:連接成功后如果對方計算機需要用戶名及密碼則需輸入)���。
隨后依次找到注冊表分支HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options將其下的userinit.exe程序項刪除(注:有時這里無顯視�����,找不到被病毒劫持的userinit.exe項目,那么此時就須找到注冊表分支HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon����,修改其下的Userinit鍵值為系統(tǒng)默認鍵值C:\WINDOWS\system32\UserInit.exe),如發(fā)現(xiàn)userinit.exe被病毒破壞����,則可使用windows安裝光盤啟動后進行快速修復���,以達還原userinit.exe程序文件。
最后將使用DOS命令將被病毒重命名并移動的c_20911.nls復位�����,命令如下:copy c:\windows\system32\dllcache\c_20911.nls c:\windows\system32完成后重啟電腦�,系統(tǒng)即可恢復正常。
方法二����、WINPE光盤引導后修復
首先用戶在電腦啟動時按delete鍵進入到BIOS,設置計算機從光盤啟動(注:各種品牌的計算機進入BIOS的略有差異�����,請參照穩(wěn)各自說明書進行操作)���,設置完成后將WinPE光盤塞入到光驅動���,然后按F10鍵保存退出,此時計算機將重新啟動����,進入光盤啟動界面���。
進入到WinPE虛擬出的系統(tǒng)后,找到注冊表分支HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options將其下的userinit.exe程序項刪除��,找到注冊表分支HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon����,修改其下的Userinit鍵值為系統(tǒng)默認鍵值C:\WINDOWS\system32\UserInit.exe,隨后瀏覽WinPE光盤����,將I386目錄下的system32文件夾中的userinit.exe程序復制到系統(tǒng)所在盤的windows\system32路徑下。
最后取出光盤�����,重新啟動計算機�����,被病毒劫持的userinit.exe將恢復正常����,操作系統(tǒng)將正常啟動,反復重啟不再出現(xiàn)�����,問題解決�。
病毒預防
病毒并不可怕,可怕的病毒制造者之心�����。網(wǎng)絡用戶須時時提高警惕以防財產(chǎn)損失��,而面對網(wǎng)絡初期用戶����,那么到底可利有何種方法進行防毒、防盜呢�����?其實�,在網(wǎng)絡中并沒有真正安全的系統(tǒng),只有相對安全的平臺�����。如果要將來自網(wǎng)絡中的威脅降低到最小,那么用戶須注意下列幾點:
一����、不要隨意打開莫名網(wǎng)站與即時通訊軟件中傳遞的網(wǎng)址,更不得隨意接收并點擊陌生人或來歷不明的程序(包含:EXE可執(zhí)行文件�、圖片、動畫���、電影�、音樂�、電子圖書等),以防中招����。
二、開啟系統(tǒng)中的補丁自動更新功能��,并設置每天進行本機所安裝的安全軟件升級功能�����,以達最新版本��。在網(wǎng)絡中進行通訊時�,要開啟防火墻��,沒有安裝防火墻的用戶須盡快安裝,這樣可以防止當電腦中出現(xiàn)陌生程序進行遠程連接時����,事先早知道并進行審核。
三�����、要不定期的利用殺毒軟件或第三方安全工具���,對計算機全盤進行掃描檢測�����,對即時通迅用戶�����,如:QQ����,要利用QQ醫(yī)生對系統(tǒng)打入補丁���,并檢測盜號程序�����,避免從此處中毒中馬感染網(wǎng)絡銀行�。
如果有需要服務器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【www.allwellnessguide.com】
服務器租用/服務器托管中國五強�����!虛擬主機域名注冊頂級提供商�!15年品質保障!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
