“证券大盗”瞄准股民
网络通信
由于网上炒股方便快捷,所以许多股民申请了家庭大户室。但最新出现的“证券大盗”(Win32.Troj.Soufan)让许多人谈之色变,甚至只好改为电话委托下单。其实这种木马病毒并不可怕,只要掌握了它的病毒特征就可以及早发现和清除。
一、病毒特征
“证券大盗”(Win32.Troj.Soufan)是一种木马病毒,感染后病毒会监视当前窗口标题中是否含有“交易登录”、“XX证券网上交易”(包括国内多家著名证券公司名称)、“网上股票交易系统”等内容。如果有就启动键盘钩子把用户登录信息进行记录,包括用户名和密码;同时它还会把用户登录时的窗口画面截屏保存为图片,当记录到一定次数后,会通过邮件发送到病毒作者指定的邮箱中。这样就窃取了用户的网上证券交易账号和密码,从而可以获得操作股票的权限。更加厉害的是“证券大盗”病毒每次窃取成功后就会自动中止运行,并删除大部分病毒文件,以达到销毁罪证的目的。
二、清除病毒
1.结束病毒进程:提高金山网镖等网络防火墙的安全级别,也可以选择“断开网络”以防止病毒向外发送盗取的信息,然后查找“SYSTEM32.EXE”这个文件,如果有,说明病毒还没有“得手”,你可以按下“结束进程”按钮终止它的运行。你也可以在任务管理器中完成,或直接重启电脑到安全模式下进行下一步。
2.删除病毒文件:在系统盘搜索“syst em32.exe”这个文件,找到后彻底删除它(事先最好关闭系统还原功能)。接下来到C盘根目录下删除“Screen1.bmp”和“Screen2.bmp”文件(这两个文件是用户登录网上交易系统时病毒抓照的屏幕图像)。
3.删除病毒启动项:打开注册表编辑器,删除病毒添加的启动项:[HKEY_LO CAL_MACHINE\Software\Microsoft\Windows\ Cur rentVersion\Run]中的:
“System”=%WinDir%\system32.exe
对系统操作不是非常熟练的朋友,可以到毒霸网站下载“股票盗贼”病毒专杀工具,地址为http://db.kingsoft.com/download/other tools/DubaTool_Soufan.EXE;或者使用在线木马专杀服务http://scan.kingsoft.com/scan_mm.htm对系统进行扫描,以便及时清除病毒。
编后:对于这种病毒,防范重于查杀,所以上网进行股票买卖时,一定要开启病毒防火墙和网络防火墙,这样才能最大限度保护好系统的安全。