病毒称号:Win32.Huhk.d.7607中文称号:网银隐身劫匪病毒类型:盗号木马程序病毒目标:感化IE,偷盗工行网银本期医生:解国忠读者反映:我的工行网银遭到病毒危胁我为了启动网上买卖,很久前就申请了工商银行的网上银行,往常十分器重安保,时常杀毒。最近好友在QQ上给我发信息,说有一种新的网银病毒发生了,专门盗工行的网银。我想请问医生,这个信息是不是真的?假设中了这个病毒,应该怎样肃清?病毒自述:感化IE窃取网银账号“打打打劫,网银账号、明码,统统通知我……”对了,忘了启动自我引见了,我就是传说中的“网银隐身劫匪”。我这个“人”最大的好处就是专注,只窃取工商银行网银的账号信息。当我经过网页木马进入系统以后,首先会感化系统中IE阅读器的主程序Iexplore.exe。因为我的体积十分小,遭到感化的Iexplore.exe程序大小不会发生任何扭转。这样当用户经常使用IE阅读器登录工商银行的网银系统启动买卖时,我就可以智能截取少量的关系信息(图1),包含用户的支付卡号、接纳卡号、明码信息、收款人姓名、收款人所在地等,总之一句话所有的敏感信息都会被记载上去。当我失掉到账号信息后,就会轻轻衔接病毒作者指定的一个远程主机,让病毒作者把握用户的网银账号和明码,甚至包含系统中的团体隐衷,从而给用户形成不可预计的损失。WWW.iTCOmpuTER.com.CN一切的盗号、传输操作实现以后,我存在系统中也没有什么意义。因此我会在Windows系统目录中的备份Dllcache文件夹中,用原版的Iexplore.exe文件交流被感化的IE阅读器文件。这样系统就没有任何与我无关的痕迹,到时刻用户想检测都没法检测失掉,哈哈哈哈!本期医生:交流Iexplore.exe再杀毒“网银隐身劫匪”是一个典型的感化型病毒,只管会给网银用户带来很大的风险,然而它技术含量不高,很容易就能肃清。首先应用Windows PE盘启动系统,进入到Windows PE盘的系统界面。经过资源治理器阅读Program Files文件夹,找到并选中IE阅读器的主文件Iexplore.exe,点击“复制到”命令,在弹出的窗口选用系统IE阅读器的门路X:\Program Files\Internet Explorer。这时系统会弹出相应的揭示,间接点击“是”按钮就可以交流感化的IE阅读器文件(图2)。从新启动系统,并在计算机开启BIOS加载完之后,迅速按下键盘的F8键。在发生的Windows初级选项菜单当选用“安保形式”。而后启动杀毒软件并更新到最新的病毒库,再启动查杀就可以肃清病毒残留物。因为如今网银病毒众多,经常使用文件数字证书或移动数字证书启动数据加密是防范网银被盗的最上策。另外退出电脑系统时,最好将系统启动锁定或许拔掉保留有移动版数字证书的闪存盘。
Worm.MSN.Win32.PhotoCheat.n 本周MSN照片骗子变种N(Worm.MSN.Win32.PhotoCheat.n)病毒特意值得咱们提防。它是一个经过MSN软件流传的蠕虫病毒,该病毒侵入用户电脑后,会向MSN好友少量发送诱惑的信息,并随之发送带有诱惑称号的紧缩包。其实这就是经过伪装的病毒,猎奇的用户关上运转紧缩包后就会中毒。因为经常使用MSN作为重要的流传途径,该病毒的流传速度很快。因为少量消耗系统资源,中毒计算机和所在的局域网或许会运转缓慢。肃清方法:经常使用最新病毒库的杀毒软件查杀,例如瑞星的病毒库要更新到20.39版。此外,咱们不要随便点击MSN上发送的紧缩包,特意是那些带诱惑称号的紧缩包。 Win32.Troj.Unknown.366080病毒病毒称号:Win32.Troj.Unknown.366080中文称号:暗组远控病毒类型:木马程序要挟等级:中等本期医生:痛并快乐着定时封锁端口的Svchost.exe进程最近我在论坛中看到网友介绍一款十分难看的播放器,就下载装置了,在装置时发生程序失误揭示,过后认为不可装置就间接删除了。没过几天,我就在那个论坛上发现了我的一些公家照片。我知道电脑中毒了,急忙通知我哥哥,他检测了我的系统后发现有一个Svchost.exe进程,岂但在偷偷地启动数据传输,并且还定时封锁传输数据的端口。哥哥完结这个进程,没有想到发生60秒倒计时关机。请问医生,这个病毒应该怎样肃清?多重伪装巧暗藏自己绰号“暗组远程控制2008”, 因为“十八般武艺”样样知晓,成为黑客启动远程控制的利器,在“腥风血雨”的网络中占有一席之地,你的公家照片被盗,就是我的杰作。我经常经过文件捆绑、邮件伪装等形式诈骗用户并植入系统。因为如今的杀毒软件都有被动进攻配置,因此当我成功进入到用户系统以后,修正系统服务形容符表(被动进攻就靠它起作用)让被动进攻对我在系统中的操作“熟视无睹”。接着,我监禁一个DLL文件到系统中的System32目录外面,而后将木马自身销毁,将监禁的DLL拔出到Svchost.exe进程中,所以一完结Svchost.exe进程就会发生60秒倒计时关机。为了可以随着系统智能启动,我还设置了一个对应的启动信息。我驳回的方法和其余木马不同,它们往往经过新建的服务来启动启动,而我是对系统的BITS服务信息(BITS服务是Windows系统自带的服务之一,可以应用闲暇网络带宽在后盾传送文件)启动交流,这样除了可以繁难暗藏也能轻松穿透防火墙的阻拦。除了暗藏配置不错外,我的控制配置也是相当的强,包含屏幕控制、视频控制、文件治理、键盘记载等经常出现的控制配置。应用视频控制可以关上远程的摄像头,从而捕捉到远程的视频信息;应用键盘记载配置可以记载远程系统的键盘操作,比如账号和明码的输入等。所以要盗你的公家照片并不艰巨!手工肃清“暗组远控”病毒这个病毒很狡诈、很擅长暗藏,要捉它要下一番功夫,仅靠杀毒软件是很难完整复原系统的。手工查杀方法如下所示:第一步:首先运转安保工具WSysCheck,点击“进程治理”标签后在进程列表中找到显示为粉白色的Svchost.exe进程。选中这个进程后会在窗口下方,看到一个名为12345.dll的DLL文件,选中它点击右键中的“卸载模块”命令(见图)。
第二步:接着点击程序的“服务治理”标签,从服务列表中找到白色的BITS服务。点击右键菜单中的“定位注册表项”命令,程序智能跳转到注册表治理标签。选用注册表中的ServiceDLL这项,点击右键中的“编辑值”命令,而后在弹出的窗口中将值复原为系统自动的%SystemRoot%\System32\qmgr.dll。第三步:而后点击程序的“文件治理”标签,在磁盘目录中依次点击Windows系统中的System32目录。找到暗组远控服务端文件12345.dll后,点击右键中的“间接删除文件”命令,就能够成功地将木马从系统中彻底肃清。
