病毒名称:Win32.Huhk.d.7607
中文名称:网银隐身劫匪
病毒类型:盗号木马程序
病毒目的:感染IE,盗窃工行网银
本期医生:解国忠
读者反映:我的工行网银受到病毒危胁
我为了进行网上交易,很久前就开通了工商银行的网上银行,平时非常注重安全,时常杀毒。最近朋友在QQ上给我发消息,说有一种新的网银病毒出现了,专门盗工行的网银。我想请问医生,这个消息是不是真的?如果中了这个病毒,应该怎么清除?
病毒自述:感染IE窃取网银账号
“打打打劫,网银账号、密码,统统告诉我……”
对了,忘了进行自我介绍了,我就是传说中的“网银隐身劫匪”。我这个“人”最大的优点就是专一,只窃取工商银行网银的账号信息。当我通过网页木马进入系统以后,首先会感染系统中IE浏览器的主程序Iexplore.exe。由于我的体积非常小,受到感染的Iexplore.exe程序大小不会产生任何改变。
这样当用户使用IE浏览器登录工商银行的网银系统进行交易时,我就可以自动截取大量的相关信息(图1),包括用户的支付卡号、接收卡号、密码信息、收款人姓名、收款人所在地等,总之一句话全部的敏感信息都会被记录下来。当我获取到账号信息后,就会悄悄连接病毒作者指定的一个远程服务器,让病毒作者掌握用户的网银账号和密码,甚至包括系统中的个人隐私,从而给用户造成无法估计的损失。WWW.iTCOmpuTER.com.CN
所有的盗号、传输操作完成以后,我存在系统中也没有什么意义。因此我会在Windows系统目录中的备份Dllcache文件夹中,用原版的Iexplore.exe文件替换被感染的IE浏览器文件。这样系统就没有任何与我有关的痕迹,到时候用户想检测都没法检测得到,哈哈哈哈!
本期医生:替换Iexplore.exe再杀毒
“网银隐身劫匪”是一个典型的感染型病毒,虽然会给网银用户带来很大的危险,但是它技术含量不高,很容易就能清除。
首先利用Windows PE盘启动系统,进入到Windows PE盘的系统界面。通过资源管理器浏览Program Files文件夹,找到并选中IE浏览器的主文件Iexplore.exe,点击“复制到”命令,在弹出的窗口选择系统IE浏览器的路径X:\Program Files\Internet Explorer。这时系统会弹出相应的提示,直接点击“是”按钮就可以替换感染的IE浏览器文件(图2)。
重新启动系统,并在计算机开启BIOS加载完之后,迅速按下键盘的F8键。在出现的Windows高级选项菜单中选择“安全模式”。然后启动杀毒软件并升级到最新的病毒库,再进行查杀就可以清除病毒残留物。
由于现在网银病毒泛滥,使用文件数字证书或移动数字证书进行数据加密是防范网银被盗的最好办法。另外离开电脑系统时,最好将系统进行锁定或者拔掉保存有移动版数字证书的闪存盘。
Worm.MSN.Win32.PhotoCheat.n 本周MSN照片骗子变种N(Worm.MSN.Win32.PhotoCheat.n)病毒特别值得我们提防。它是一个通过MSN软件传播的蠕虫病毒,该病毒侵入用户电脑后,会向MSN好友大量发送诱惑的消息,并随之发送带有诱惑名称的压缩包。
其实这就是经过伪装的病毒,好奇的用户打开运行压缩包后就会中毒。由于使用MSN作为主要的传播途径,该病毒的传播速度很快。由于大量耗费系统资源,中毒计算机和所在的局域网可能会运行缓慢。
清除方法:使用最新病毒库的杀毒软件查杀,例如瑞星的病毒库要升级到20.39版。此外,我们不要轻易点击MSN上发送的压缩包,特别是那些带诱惑名称的压缩包。
Win32.Troj.Unknown.366080病毒
病毒名称:Win32.Troj.Unknown.366080
中文名称:暗组远控
病毒类型:木马程序
威胁等级:中等
本期医生:痛并快乐着
定时关闭端口的Svchost.exe进程
最近我在论坛中看到网友推荐一款非常好看的播放器,就下载安装了,在安装时出现程序错误提示,当时以为无法安装就直接删除了。没过几天,我就在那个论坛上发现了我的一些私人照片。
我知道电脑中毒了,急忙通知我哥哥,他检测了我的系统后发现有一个Svchost.exe进程,不但在偷偷地进行数据传输,并且还定时关闭传输数据的端口。哥哥结束这个进程,没有想到出现60秒倒计时关机。请问医生,这个病毒应该怎么清除?
多重伪装巧隐藏
本人绰号“暗组远程控制2008”, 由于“十八般武艺”样样精通,成为黑客进行远程控制的利器,在“腥风血雨”的网络中占有一席之地,你的私人照片被盗,就是我的杰作。
我常常通过文件捆绑、邮件伪装等方式欺骗用户并植入系统。由于现在的杀毒软件都有主动防御功能,因此当我成功进入到用户系统以后,修改系统服务描述符表(主动防御就靠它起作用)让主动防御对我在系统中的操作“视而不见”。
接着,我释放一个DLL文件到系统中的System32目录里面,然后将木马本身销毁,将释放的DLL插入到Svchost.exe进程中,所以一结束Svchost.exe进程就会出现60秒倒计时关机。
为了可以随着系统自动启动,我还设置了一个对应的启动信息。我采用的方法和其他木马不同,它们往往通过新建的服务来进行启动,而我是对系统的BITS服务信息(BITS服务是Windows系统自带的服务之一,可以利用空闲网络带宽在后台传送文件)进行替换,这样除了可以方便隐藏也能轻松穿透防火墙的拦截。
除了隐藏功能不错外,我的控制功能也是相当的强,包括屏幕控制、视频控制、文件管理、键盘记录等常见的控制功能。利用视频控制可以打开远程的摄像头,从而捕捉到远程的视频信息;利用键盘记录功能可以记录远程系统的键盘操作,比如账号和密码的输入等。所以要盗你的私人照片并不困难!
手工清除“暗组远控”病毒
这个病毒很狡猾、很善于隐藏,要捉它要下一番功夫,仅靠杀毒软件是很难完整恢复系统的。手工查杀方法如下所示:
第一步:首先运行安全工具WSysCheck,点击“进程管理”标签后在进程列表中找到显示为粉红色的Svchost.exe进程。选中这个进程后会在窗口下方,看到一个名为12345.dll的DLL文件,选中它点击右键中的“卸载模块”命令(见图)。
第二步:接着点击程序的“服务管理”标签,从服务列表中找到红色的BITS服务。点击右键菜单中的“定位注册表项”命令,程序自动跳转到注册表管理标签。选择注册表中的ServiceDLL这项,点击右键中的“编辑值”命令,然后在弹出的窗口中将值恢复为系统默认的%SystemRoot%\System32\qmgr.dll。
第三步:然后点击程序的“文件管理”标签,在磁盘目录中依次点击Windows系统中的System32目录。找到暗组远控服务端文件12345.dll后,点击右键中的“直接删除文件”命令,就能够成功地将木马从系统中彻底清除。
From:http://www.itcomputer.com.cn/Article/Network/201309/356.html