网银木马原理解析与查杀

    随着网络带宽的不断扩展，ADSL用户的猛增，一些不法分子制造的网络木马无处不在，严重的影响了一些初上网的用户对网络安全的信任。网银木马只是其中的一类，但却是危害十分巨大的木马，因为它的严重后果是有可能给一些不慎中马的网友带来经济财产的损失。本文就来解析下此类木马的原理，然后告诉网友们查杀此类害群之马的办法。

    一、木马原理解析

　　现身网络的网银木马Win32.Troj.BankJp.a.221184程序，该木马病毒可通过第三方存诸设备及网络进行传播，会给系统、网络银行用户带来损失。该木马一但进驻系统，首先会自行寻找系统中的“个人银行专业版”的窗口并盗取网银账号密码，然后该病毒将自动替换大量系统文件，并进行键盘记录，进尔利用删除破坏系统userinit.exe关键登陆程序，达到系统重启后反复登陆操作界面，让系统无法进入桌面，以至于无法正常运行，而且该病毒木马能实现自动更新，严重威胁用户财产及隐私安全。

　　当木马感染了一台个人电脑时，它会在文件目录%windir%下生存mshelp.dll、mspw.dll动态链接库文件，并随后在注册表分支HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下添加服务项power，并尝试备份文件%system%calc.exe -> %system%dllcachec_20218.nls、%system%userinit.exe -> %system%dllcachec_20911.nls及%windir%notepad.exe -> %system%dllcachec_20601.nls文件。成功后病毒开始自动查找并替换系统目录%windir%下的calc.exe文件;% system%目录下的userinit.exe、notepad.exe文件;%system%dllcache目录下的calc.exe、 userinit.exe及notepad.exe文件，以达深度隐藏。
　　而且，病毒木马仍然没有结束自身加固功能，会在系统根目录下创建RECYCLER..文件夹，用于存放病毒备份。由此可见，此木马的手段是极尽能事，妄图完全入驻个人计算机。

　　二、病毒查杀过程

　　当网络用户不小心感染其病毒木马时依据各自的计算机应急病毒处理能力，在这里提供两种方案：

　　方案A：WINPE光盘引导后修复

　　首先用户在电脑启动时按delete键进入到BIOS，设置计算机从光盘启动(注：各种品牌的计算机进入BIOS的略有差异，请参照稳各自说明书进行操作)，设置完成后将WinPE光盘塞入到光驱动，然后按F10键保存退出，此时计算机将重新启动，进入光盘启动界面。 

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点