病毒名稱:Win32.Huhk.d.7607
中文名稱:網銀隱身劫匪
病毒類型:盜號木馬程序
病毒目的:感染IE,盜竊工行網銀
本期醫生:解國忠
讀者反映:我的工行網銀受到病毒危脅
我為了進行網上交易,很久前就開通了工商銀行的網上銀行,平時非常注重安全,時常殺毒。最近朋友在QQ上給我發消息,說有一種新的網銀病毒出現了,專門盜工行的網銀。我想請問醫生,這個消息是不是真的?如果中了這個病毒,應該怎麼清除?
病毒自述:感染IE竊取網銀賬號
“打打打劫,網銀賬號、密碼,統統告訴我……”
對了,忘了進行自我介紹了,我就是傳說中的“網銀隱身劫匪”。我這個“人”最大的優點就是專一,只竊取工商銀行網銀的賬號信息。當我通過網頁木馬進入系統以後,首先會感染系統中IE浏覽器的主程序Iexplore.exe。由於我的體積非常小,受到感染的Iexplore.exe程序大小不會產生任何改變。
這樣當用戶使用IE浏覽器登錄工商銀行的網銀系統進行交易時,我就可以自動截取大量的相關信息(圖1),包括用戶的支付卡號、接收卡號、密碼信息、收款人姓名、收款人所在地等,總之一句話全部的敏感信息都會被記錄下來。當我獲取到賬號信息後,就會悄悄連接病毒作者指定的一個遠程服務器,讓病毒作者掌握用戶的網銀賬號和密碼,甚至包括系統中的個人隱私,從而給用戶造成無法估計的損失。tw.WIngWit.com
所有的盜號、傳輸操作完成以後,我存在系統中也沒有什麼意義。因此我會在Windows系統目錄中的備份Dllcache文件夾中,用原版的Iexplore.exe文件替換被感染的IE浏覽器文件。這樣系統就沒有任何與我有關的痕跡,到時候用戶想檢測都沒法檢測得到,哈哈哈哈!
本期醫生:替換Iexplore.exe再殺毒
“網銀隱身劫匪”是一個典型的感染型病毒,雖然會給網銀用戶帶來很大的危險,但是它技術含量不高,很容易就能清除。
首先利用Windows PE盤啟動系統,進入到Windows PE盤的系統界面。通過資源管理器浏覽Program Files文件夾,找到並選中IE浏覽器的主文件Iexplore.exe,點擊“復制到”命令,在彈出的窗口選擇系統IE浏覽器的路徑X:\Program Files\Internet Explorer。這時系統會彈出相應的提示,直接點擊“是”按鈕就可以替換感染的IE浏覽器文件(圖2)。
重新啟動系統,並在計算機開啟BIOS加載完之後,迅速按下鍵盤的F8鍵。在出現的Windows高級選項菜單中選擇“安全模式”。然後啟動殺毒軟件並升級到最新的病毒庫,再進行查殺就可以清除病毒殘留物。
由於現在網銀病毒泛濫,使用文件數字證書或移動數字證書進行數據加密是防范網銀被盜的最好辦法。另外離開電腦系統時,最好將系統進行鎖定或者拔掉保存有移動版數字證書的閃存盤。
From:http://tw.wingwit.com/Article/Network/201309/356.html