网银盗号木马病毒的原理与防杀办法

随着网络用户的增多，各式病毒木马盗号程序自然也将其视为口中的美味。在一批盗号先驱木马倒下的同时，又会生成另类的盗号程序，此起彼伏，一个网络使用不当，即将会给个人网络银行帐户带来不小的损失，让很多网民伤透了脑筋。

木马原理分析

这不最近又出现了新的网银木马Win32.Troj.BankJp.a.221184程序，该木马病毒可通过第三方存诸设备及网络进行传播，会给系统、网络银行用户带来损失。该木马一但进驻系统，首先会自行寻找系统中的“个人银行专业版”的窗口并盗取网银账号密码，然后该病毒将自动替换大量系统文件，并进行键盘记录，进尔利用删除破坏系统userinit.exe关键登陆程序，达到系统重启后反复登陆操作界面，让系统无法进入桌面，以至于无法正常运行，该病毒木马能实现自动更新，严重威胁用户财产及隐私安全。

在一台被感染的计算机中，该病毒会在其文件目录%windir%下生存mshelp.dll、mspw.dll动态链接库文件，并随后在注册表分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下添加服务项power，并尝试备份文件%system%\calc.exe -> %system%\dllcache\c_20218.nls、%system%\userinit.exe -> %system%\dllcache\c_20911.nls及%windir%\notepad.exe -> %system%\dllcache\c_20601.nls文件。成功后病毒开始自动查找并替换系统目录%windir%下的calc.exe文件;%system%目录下的userinit.exe、notepad.exe文件;%system%\dllcache目录下的calc.exe、userinit.exe及notepad.exe文件，以达深度隐藏。

至此，病毒木马仍然没有结束自身加固功能，会在系统根目录下创建RECYCLER..文件夹，用于存放病毒备份。

病毒清理过程

当网络用户不小心感染其病毒木马时，应尽快将其清理出计算机，依据各自的计算机应急病毒处理能力，此处提供两种方案：

方法一、利用远程注册表修复

由于系统缺省情况下开启了远程注册表服务项，处在局域网中的用户可通过远程连接注册表编辑器修改被感染的电脑注册表。首先在开始菜单的运行项中输入regedit调出注册表编辑器，单击其中的文件菜单打开连接网络注册表项目，在其中输入被感染的计算机IP地址\\机器名(注：连接成功后如果对方计算机需要用户名及密码则需输入)。

随后依次找到注册表分支HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Image File Execution Options将其下的userinit.exe程序项删除(注：有时这里无显视，找不到被病毒劫持的userinit.exe项目，那么此时就须找到注册表分支HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon，修改其下的Userinit键值为系统默认键值C:\WINDOWS\system32\UserInit.exe)，如发现userinit.exe被病毒破坏，则可使用windows安装光盘启动后进行快速修复，以达还原userinit.exe程序文件。

最后将使用DOS命令将被病毒重命名并移动的c_20911.nls复位，命令如下：copy c:\windows\system32\dllcache\c_20911.nls c:\windows\system32完成后重启电脑，系统即可恢复正常。