51CTO推薦：木馬原理與防范

近日，金山反病毒中心截獲一特殊的新網(wǎng)銀木馬病毒，該木馬會(huì)刪除系統(tǒng)的關(guān)鍵登錄程序userinit.exe，導(dǎo)致系統(tǒng)重啟后反復(fù)登錄，無法進(jìn)入桌面。金山反病毒中心已經(jīng)緊急升級(jí)處理該病毒，將提供了系統(tǒng)修復(fù)方案。

以下是新網(wǎng)銀木馬病毒的詳細(xì)分析：

病毒名：Win32.Troj.BankJp.a.221184

這是一個(gè)具有破壞性的新網(wǎng)銀木馬病毒。會(huì)查找“個(gè)人銀行專業(yè)版”的窗口并盜取網(wǎng)銀賬號(hào)密碼，如招商銀行等；該病毒還會(huì)替換大量系統(tǒng)文件，如userinit.exe、notepad.exe等。會(huì)引起進(jìn)入系統(tǒng)時(shí)反復(fù)注銷等問題。建議使用金山清理專家進(jìn)行清除，并恢復(fù)userinit.exe等系統(tǒng)文件后再重起計(jì)算機(jī)，該病毒通過可移動(dòng)磁盤傳播。

新網(wǎng)銀木馬病毒癥狀

1、生成文件：

%windir%\mshelp.dll
%windir%\mspw.dll

2、添加服務(wù)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\power

3、主要危害

查找“個(gè)人銀行專業(yè)版”的窗口，并從內(nèi)存讀取賬號(hào)密碼，威脅用戶財(cái)產(chǎn)安全。

4、其它危害

使用驅(qū)動(dòng)，進(jìn)行鍵盤記錄，威脅用戶財(cái)產(chǎn)及隱私安全。

5、備份下列文件

%system%\userinit.exe -> %system%\dllcache\c_20911.nls 
%windir%\notepad.exe -> %system%\dllcache\c_20601.nls
%system%\calc.exe -> %system%\dllcache\c_20218.nls

6、用病毒文件替換下列文件

%system%\notepad.exe
%windir%\calc.exe
%system%\userinit.exe
%system%\dllcache\notepad.exe
%system%\dllcache\calc.exe
%system%\dllcache\userinit.exe

7、備份

會(huì)在根目錄下創(chuàng)建文件夾RECYCLER..，存放病毒備份。

8、刪除windows目錄下的下列文件

notepad.exe
calc.exe
userinit.exe
svchost.exe

9、該病毒會(huì)自動(dòng)更新

因?yàn)椴《境绦蛴米陨硖鎿Q了userinit.exe，重啟系統(tǒng)時(shí)，會(huì)發(fā)現(xiàn)無法登錄，反復(fù)注銷。出現(xiàn)這個(gè)情況時(shí)，不必忙著重裝系統(tǒng)，修復(fù)還是需要花一些功夫的，請(qǐng)參考以下解決方案：

#p#新網(wǎng)銀木馬清除方案一、使用WINPE光盤引導(dǎo)后修復(fù)

首先按delete鍵進(jìn)入BIOS，確認(rèn)當(dāng)前的啟動(dòng)方式是否為光盤啟動(dòng)。按“+”“—”修改第一啟動(dòng)為光驅(qū)，并且按F10鍵保存后退出并且重啟。如圖所示：

重啟后WinPE的啟動(dòng)時(shí)間比較長，請(qǐng)耐心等待。如圖所示：

進(jìn)入WinPE虛擬出的系統(tǒng)后找到里面的注冊(cè)表編輯工具定位到注冊(cè)表項(xiàng)：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options

下找到userinit.exe項(xiàng)，將其刪除。（從截圖可以看到病毒將userinit.exe劫持到不存在的文件上面會(huì)導(dǎo)致XP系統(tǒng)反復(fù)注銷）

此步操作可能沒有找到病毒劫持的userinit.exe項(xiàng)目，接下來定位到注冊(cè)表項(xiàng)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

下找到里面的Userinit鍵值，將其數(shù)據(jù)修改為系統(tǒng)默認(rèn)的值“C:\WINDOWS\system32\UserInit.exe”如圖所示：

接下來我們需要將WinPE盤里面的userinit.exe文件替換系統(tǒng)目錄下的文件，以便確保不是病毒修改替換過的文件。方法是瀏覽光驅(qū)找到I386目錄下system32目錄，右鍵單擊userinit.exe文件后選擇“復(fù)制到”，將默認(rèn)路徑X:\windows\system32輸入對(duì)話框中(X 為系統(tǒng)盤符，通常為C盤) 如圖所示：

如果在系統(tǒng)目錄下存在userinit.exe文件的話，會(huì)有如下提示。建議點(diǎn)擊“是”以避免之前文件被病毒修改。如圖所示：

當(dāng)注冊(cè)表修改和文件替換均完成后重啟計(jì)算機(jī)，反復(fù)注銷的現(xiàn)象即可解決。（注意取出WinPE光盤，以避免之后反復(fù)進(jìn)入WinPE系統(tǒng)）此方法僅供遇到此類現(xiàn)象的人士參考處理，系統(tǒng)沒有此問題的用戶請(qǐng)不要模仿類似操作。

#p#新網(wǎng)銀木馬清除方案二：使用注冊(cè)表編輯器編輯遠(yuǎn)程計(jì)算機(jī)的注冊(cè)表

因方案一需要的WINPE光盤不是每個(gè)人都有，故提出使用注冊(cè)表編輯器編輯遠(yuǎn)程計(jì)算機(jī)的注冊(cè)表的方法。此方法僅供遇到此類現(xiàn)象的人士參考處理，系統(tǒng)沒有此問題的用戶請(qǐng)不要模仿類似操作。WINPE光盤也是需要微軟授權(quán)的產(chǎn)品，不是每個(gè)電腦用戶都有，這里補(bǔ)充另一個(gè)方法：你可以使用局域網(wǎng)中其它計(jì)算機(jī)完成本機(jī)的注冊(cè)表修復(fù)。

Windows缺省情況下開啟了遠(yuǎn)程注冊(cè)表服務(wù)，可以使用正常電腦的注冊(cè)表編輯器編輯遠(yuǎn)程的故障電腦注冊(cè)表。如果本服務(wù)已經(jīng)關(guān)閉，就只能用winpe了，其它方法更復(fù)雜。

新網(wǎng)銀木馬清除步驟：

1.單擊開始，運(yùn)行，輸入regedit，打開注冊(cè)表編輯器。

2.單擊文件菜單，連接網(wǎng)絡(luò)注冊(cè)表。

3.輸入遠(yuǎn)程計(jì)算的IP地址或\\機(jī)器名，連接成功后，輸入遠(yuǎn)程計(jì)算機(jī)的管理員用戶名密碼。

接下來的步驟就和上面用Winpe編輯注冊(cè)表的方法完全一樣了。如果userinit.exe被病毒破壞，可以使用windows安裝光盤啟動(dòng)后進(jìn)行快速修復(fù)，以還原這個(gè)userinit.exe。

根據(jù)該病毒的行為，病毒將userinit.exe重命名為c_20911.nls，并從c:\windows\system32目錄移動(dòng)到了c:\windows\system32\dllcache\c_20911.nls，我們只需要使用copy命令，還原這個(gè)文件就可以。

命令為

copy c:\windows\system32\dllcache\c_20911.nls c:\windows\system32
 

重啟，你的系統(tǒng)就恢復(fù)了。

新網(wǎng)銀木馬清除就向你介紹到這里，希望對(duì)你認(rèn)識(shí)和清除該新網(wǎng)銀木馬有所幫助。

【相關(guān)文章】

• Windows XP系統(tǒng)反復(fù)注銷 大量用戶遭遇病毒困擾

• XP系統(tǒng)反復(fù)重啟 新網(wǎng)銀木馬為罪魁禍?zhǔn)?/FONT>