黑屏病毒盗你网银
安全阵线
小编点睛
长翅膀的不一定是天使,也可能是鸟人;会黑屏的不一定是盗版系统,也可能是病毒。使用网银的朋友要当心了,电脑突然黑屏,一定要及时重启电脑。
病毒名称:白金远程控制
病毒类型:盗号病毒
病毒目的:制造黑屏、转移网银财富等
黑屏并非因为盗版
什么情况下会黑屏?使用盗版系统,这是我立刻想到的,不过还有一种可能,那就是中毒了。我就收到过病毒送的黑屏“礼物”。就在前几天,我中午在单位登录网银后,电脑突然出现黑屏。当时无比诧异,黑屏风波不是已经过去了吗,怎么又出现了?
那时,脑袋出现了短暂的短路,后来我想起自己用的是品牌电脑,安装的应该是正版系统。重启电脑后,系统恢复了正常,不过当我重新登录网银后,发现账户中的余额不对头,明显少了很多。
我当时就蒙了。由于单位局域网内时不时就有病毒在传播,我特意使用了U盾,从来没有出过问题,根本没有想到会出现这一幕。冷静下来后,我就感觉奇怪,就算病毒窃取了网银的账户和密码,没有U盾也盗不走我的钱呀?
病毒也玩黑屏
通过回忆,我觉得此前电脑莫名其妙出现的黑屏非常可疑,难道是中毒了?请网管帮我查看电脑后,他断定我的电脑中了病毒。高手就是高手,很快就解决了问题。在感谢之余,我也顺便咨询了一下为什么病毒可以让我的电脑黑屏。
网管大哥告诉了我黑屏的秘密。病毒的“屏幕管理”功能可以监视用户的一举一动,当病毒的操纵者发现我登录网银后,通过“服务端黑屏”命令就让我的电脑出现了黑屏的症状(图1),然后通过远程操作转移我账户中的钱(我的U盾还插在电脑上)。
病毒原理:病毒首先通过网页挂马等方式进入系统,然后通过恢复系统的SSDT表让杀毒软件的主动防御功能失效,接着将病毒文件复制到系统的system32目录中并命名为nt6to4.dll。
此后病毒通过线程插入技术,将自身插入系统进程svchost.exe中。为了更好地进行隐藏,病毒还在文件属性里面加入了微软公司的相关信息。随机生成一个系统服务启动项,从而实现随机启动的目的。
病毒加载完成以后,会在系统后台监视用户的屏幕操作和键盘操作。当黑客看到用户使用网银时,会发送黑屏命令,服务端程序会调用系统底层的钩子函数,阻止显示器将接收的视频信息显示出来,最终导致显示器没有信息内容显示而出现黑屏。
不给病毒黑屏机会
第一步:运行进程管理工具XueTr(下载地址:http://www.shudoo.com/bzsoft),点击右键选择“在下方显示模块窗口”命令。依次在进程列表中选择svchost.exe进程,当发现含有nt6to4.dll模块的svchost.exe进程后,选中它点击右键选择 “结束进程”命令(图2)。
第二步:点击XueTr窗口中的“服务”标签,在“描述”栏中查询一个内容为“监测新硬件设备并自动更新设备驱动程序”的启动服务。选中这个启动服务后,点击右键选择“删除”命令(图3)。
第三步:点击XueTr窗口中的“文件”标签,在系统的system32目录中找到病毒文件nt6to4.dll,右键点击选择“强制删除”命令即可(图4)。最后重新安装被病毒破坏的杀毒软件,利用杀毒软件对系统进行一次全面的扫描。
