近日,金山反病毒中心截获一特殊的
木马
病毒,该木马会删除系统的关键登录程序userinit.exe,导致系统重启后反复登录,无法进入桌面。金山反病毒中心已经紧急升级处理该病毒,将提供了系统修复方案。
以下是该病毒的详细分析:
病毒名:Win32.Troj.BankJp.a.221184
这是一个具有破坏性的木马病毒。会查找“个人银行专业版”的窗口并盗取网银账号密码,如招商银行等;该病毒还会替换大量系统文件,如userinit.exe、notepad.exe等。会引起进入系统时反复注销等问题。建议使用金山清理 专家 进行清除,并恢复userinit.exe等系统文件后再重起计算机,该病毒通过可移动磁盘传播。
病毒症状
1、生成文件:
%windir%/mshelp.dll
%windir%/mspw.dll
2、添加服务
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/power
3、主要危害
查找“个人银行专业版”的窗口,并从内存读取账号密码,威胁用户财产 安全 。
4、其它危害
使用驱动,进行键盘记录,威胁用户财产及隐私安全。
5、备份下列文件
%system%/userinit.exe -> %system%/dllcache/c_20911.nls
%windir%/notepad.exe -> %system%/dllcache/c_20601.nls
%system%/calc.exe -> %system%/dllcache/c_20218.nls
6、用病毒文件替换下列文件
%system%/notepad.exe
%windir%/calc.exe
%system%/userinit.exe
%system%/dllcache/notepad.exe
%system%/dllcache/calc.exe
%system%/dllcache/userinit.exe
7、备份
会在根目录下创建文件夹RECYCLER..,存放病毒备份。
以下是该病毒的详细分析:
病毒名:Win32.Troj.BankJp.a.221184
这是一个具有破坏性的木马病毒。会查找“个人银行专业版”的窗口并盗取网银账号密码,如招商银行等;该病毒还会替换大量系统文件,如userinit.exe、notepad.exe等。会引起进入系统时反复注销等问题。建议使用金山清理 专家 进行清除,并恢复userinit.exe等系统文件后再重起计算机,该病毒通过可移动磁盘传播。
病毒症状
1、生成文件:
%windir%/mshelp.dll
%windir%/mspw.dll
2、添加服务
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/power
3、主要危害
查找“个人银行专业版”的窗口,并从内存读取账号密码,威胁用户财产 安全 。
4、其它危害
使用驱动,进行键盘记录,威胁用户财产及隐私安全。
5、备份下列文件
%system%/userinit.exe -> %system%/dllcache/c_20911.nls
%windir%/notepad.exe -> %system%/dllcache/c_20601.nls
%system%/calc.exe -> %system%/dllcache/c_20218.nls
6、用病毒文件替换下列文件
%system%/notepad.exe
%windir%/calc.exe
%system%/userinit.exe
%system%/dllcache/notepad.exe
%system%/dllcache/calc.exe
%system%/dllcache/userinit.exe
7、备份
会在根目录下创建文件夹RECYCLER..,存放病毒备份。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
