系统反复重启 谁之过?——揭露新网银病毒真面目
网络安全
上手难度:★★★★
适合读者:使用网银的用户
病人:最近我的Windows XP老是不断的重新启动,为什么会这样?我在使用网银,是不是跟这个有关?
医生:最近出现了一个非常具有破坏性的病毒BankJp.a.221184。该病毒可以查找系统中的“个人银行专业版”的窗口,通过使用驱动进行键盘记录,并且从系统内中存读取账号密码,威胁用户财产安全并盗取其中的网银账号密码,因此给通过网络银行进行网络交易的用户带来很大的威胁。另外该病毒还会替换大量系统文件,如userinit.exe等,从而会引起进入系统时反复重启。
系统因userinit.exe而反复重启
病人:原来是网银病毒在作祟,它是怎么盗取我网银信息的?
医生:userinit.exe是Windows操作系统里面的一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。病毒替换它以后,就会出现反复重启的情况,这样就可以在用户重新登录时截取账户和密码。
要想通过userinit.exe对系统进行反复的重启,病毒可以同时使用两种方法。一种方法是将userinit.exe映射到一个莫须有的系统文件里面。另外一种方法是利用自身替换了userinit.exe文件。
消灭网银病毒
病人:看来这个病毒还是非常棘手的,那么我们应该如何清除这个网银病毒呢?
医生:清理这个网银病毒需要特殊的工具,但是好在清除的过程比较简单,具体清除步骤如下。
第一步:由于该网银木马破坏了Windows系统中的重要文件userinit.exe,因此用户常常无法正常登录到系统中进行病毒查杀,所以只能通过WINPE盘来进行病毒的查杀以及系统恢复。
首先使用光驱启动来引导WINPE光盘,在系统的Windows目录里面找到mshelp.Dll和mspw.Dll病毒文件后删除(图1)。再分别搜索notepad.exe、calc.exe、userinit.exe这三个文件,然后将它们全部进行删除,因为它们都已经被病毒文件所替换。
第二步:现在找到WINPE光盘中自带的注册表编辑工具,然后定位到如下注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,在里面找到userinit.exe项并将它删除(图2)。从截图我们可以清楚地看到病毒将userinit.exe镜像劫持到一个不存在的文件上面从而导致Windows XP系统反复注销。
第三步:接下来再定位到注册表项:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下,找到里面的Userinit键值,将它的数据修改为系统默认的值C:\WINDOWS \system32\ userinit.exe(图3)。然后再定位到注册表项目,对该木马的启动服务进行删除,即HKEY_LO CAL_MACHINE\SYSTEM\CurrentControlSet \Services\power。
第四步:最后我们需要将WINPE光盘里面的userinit.exe文件,来替换掉已经被感染的Windows XP系统中的文件。首先浏览WINPE光盘目录中的system32文件夹,找到并点击userinit.exe文件后选择“复制到”命令,将默认路径X:\windows\syste m32输入对话框中(图4)。如果在系统目录下存在userinit.exe文件的话,会有如下提示,直接点击“是”按钮以避免之前可能没有清除干净的病毒文件。
第五步:及时更新网页木马所利用的漏洞补丁。由于目前网页木马在网络中较为泛滥,已经成为病毒传播的主要途径之一,安装补丁可以避免用户在浏览一些网站时感染网页木马。
另外,关闭Windows系统的自动播放功能。由于现在很多病毒都通过移动设备传播这一方式,因此可以使用组策略的方式禁用自动播放的功能。这样可以杜绝病毒从闪存盘和移动硬盘等移动存储设备入侵电脑。
总结
新网银病毒采用的技术并不复杂,但造成的危害特别严重。所以,使用网银的朋友一定要加强警惕性,发现自己的机子突然无故反复重启,就表示你中毒了,要及时清除。