黑客手持盗号器打劫网银
网络安全
病毒名称:Win32.Hack.Agent.61440 中文名称:网银黑客盗号器61440 病毒类型:盗号木马 病毒目的:盗窃用户的网银账号 本期医生:咖啡猪
网银被人登录过
在电影院看了《功夫熊猫》后想再看一遍,在百度搜索《功夫熊猫》时,无意中发现了一个功夫熊猫的在线小游戏,我非常激动地点进去了。在玩这款小游戏的时候,突然浏览器闪了一下,当时没在意。
后来我登录网银时习惯性地查看右下角的登录时间(图1),发现最后登录的时间和我上次登录时间不一样。难道我电脑中毒了?密码被人盗取了?我用杀毒软件查杀,发现它不能正常工作了。请问医生,我的电脑是不是中毒了?
杀毒软件看不到我
不走寻常路,这是我“网银黑客盗号器61440”的信念。现在很多病毒都喜欢禁用杀毒软件,这样虽然可以逃避查杀,但也告诉用户“我来了”!我就不一样了,不禁用杀毒软件但让它变成“睁眼瞎”。
我进到电脑系统后,先在系统盘释放出explore.exe(图2)、ponto.dll、1.exe、beep.sys四个病毒文件。explore.exe文件是系统桌面文件,将它替换掉后,用户从运行程序和进程中就很难发现我的踪迹。
beep.sys文件是我的杀手锏,它是一个磁盘过滤驱动程序,主要用于替换C:\Windows\System32\Drivers下的系统驱动程序beep.sys文件。替换后就可窜改系统的SSDT表(System Services Descriptor Table,系统服务描述符表,杀毒软件的主动防御都是通过SSDT表来实现的),让杀毒软件的查杀功能完全失效。
而1.exe则是我的主程序,修改注册表后,会将它添加进启动项,实现开机自启动。ponto.dll文件则是我的动态链接库文件,主要为了让注册表和主程序相关联,给自己获得更多运行的机会,且防止被用户发现。
这些工作做完后,我就潜伏在电脑中,伺机而动,当用户在网上进行一些电子商务活动,比如进行网上交易、使用网银转账,输入银行账号和密码时,我就果断地出手将账号和密码截取下来,发送到指定地址http://www.silvana****.kit.net,这样一切就以华丽的篇章结束。
删除网银盗号病毒
网络中存在着各式各样的病毒,有大而全的木马盗号病毒,也有小而专的病毒,例如针对网银的盗号病毒,这种病毒专门针对网上银行而定制。一旦网银密码被盗,我们的损失会比较大,所以电子商务安全也成为了网络安全的重中之重。
第一步:同时按下键盘上的“Ctrl+Alt+Del”组合键调出“任务管理器”,在任务管理器中将“1.exe”进程结束,如果“任务管理器”中查看不到此进程,可以利用Procexp软件来查看,然后右键单击要结束的“1.exe”进程,选择“Kill Process”,在弹出的对话框中单击“是”即可结束此进程。
第二步:利用资源管理器进入到系统盘C:\Windows文件夹下,将ponto.dll文件删除,再到%Systemroot%\System32\dllcache里找到beep.sys,将它复制到%Systemroot%\System32\Drivers目录下。
第三步:利用搜索的方法找到“1.exe”文件并删除,如果删除文件时被拒绝,可利用Unlocker解决。单击“开始”菜单,选择“运行”,输入“regedit”进入注册表,找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,将其中的iexplorer删除。
第四步:最后升级杀毒软件(例如金山毒霸,下载地址:http://www.duba.net/download/index.shtml)并升级病毒库到最新版本,再进行全盘查杀,将病毒残留物彻底清除干净。此外,我们还要尽快修改自己的网银密码。