天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

XP系统反复重启真相大白 木马为罪魁祸首

2007-11-10赛迪网李铁军
 

近日,金山反病毒中心截获一特殊的木马病毒,该木马会删除系统的关键登录程序userinit.exe,导致系统重启后反复登录,无法进入桌面。金山反病毒中心已经紧急升级处理该病毒,将提供了系统修复方案

以下是该病毒的详细分析:

病毒名:Win32.Troj.BankJp.a.221184

这是一个具有破坏性的木马病毒。会查找“个人银行专业版”的窗口并盗取网银账号密码,如招商银行等;该病毒还会替换大量系统文件,如userinit.exe、notepad.exe等。会引起进入系统时反复注销等问题。建议使用金山清理专家进行清除,并恢复userinit.exe等系统文件后再重起计算机,该病毒通过可移动磁盘传播。

病毒症状

1、生成文件:

%windir%\mshelp.dll
%windir%\mspw.dll

2、添加服务

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\power

3、主要危害

查找“个人银行专业版”的窗口,并从内存读取账号密码,威胁用户财产安全。

4、其它危害

使用驱动,进行键盘记录,威胁用户财产及隐私安全。

5、备份下列文件

%system%\userinit.exe -> %system%\dllcache\c_20911.nls 
%windir%\notepad.exe -> %system%\dllcache\c_20601.nls
%system%\calc.exe -> %system%\dllcache\c_20218.nls

6、用病毒文件替换下列文件

%system%\notepad.exe
%windir%\calc.exe
%system%\userinit.exe
%system%\dllcache\notepad.exe
%system%\dllcache\calc.exe
%system%\dllcache\userinit.exe

7、备份

会在根目录下创建文件夹RECYCLER..,存放病毒备份。

8、删除windows目录下的下列文件

notepad.exe
calc.exe
userinit.exe
svchost.exe

 

本文来源:赛迪网 作者:李铁军

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行