新网银木马BankJp详细分析与清除

简介:
病毒名:Win32.Troj.BankJp.a.221184
这是一个具有破坏性的新网银木马病毒。会查找“个人银行专业版”的窗口并盗取网银账号密码,如招商银行等;该病毒还会替换大量系统文件,如userinit.exe、notepad.exe等。会引起进入系统时反复注销等问题。建议使用金山清理专家进行清除,并恢复userinit.exe等系统文件后再重起计算机,该病毒通过可移动磁盘传播。
新网银木马病毒症状
1、生成文件:
%windir%\mshelp.dll
%windir%\mspw.dll
2、添加服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\power
3、主要危害
查找“个人银行专业版”的窗口,并从内存读取账号密码,威胁用户财产安全。
4、其它危害
使用驱动,进行键盘记录,威胁用户财产及隐私安全。
5、备份下列文件
%system%\userinit.exe -> %system%\dllcache\c_20911.nls 
%windir%otepad.exe -> %system%\dllcache\c_20601.nls
%system%\calc.exe -> %system%\dllcache\c_20218.nls
6、用病毒文件替换下列文件
%system%otepad.exe
%windir%\calc.exe
%system%\userinit.exe
%system%\dllcacheotepad.exe
%system%\dllcache\calc.exe
%system%\dllcache\userinit.exe
7、备份
会在根目录下创建文件夹RECYCLER..,存放病毒备份。
8、删除windows目录下的下列文件
notepad.exe
calc.exe
userinit.exe
svchost.exe
9、该病毒会自动更新
因为病毒程序用自身替换了userinit.exe,重启系统时,会发现无法登录,反复注销。出现这个情况时,不必忙着重装系统,修复还是需要花一些功夫的,请参考以下解决方案:
新网银木马BankJp清除方案一:使用WINPE光盘引导后修复
 
首先按delete键进入BIOS,确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱,并且按F10键保存后退出并且重启。如图所示:
重启后WinPE的启动时间比较长,请耐心等待。如图所示:
进入WinPE虚拟出的系统后找到里面的注册表编辑工具定位到注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options
下找到userinit.exe项,将其删除。(从截图可以看到病毒将userinit.exe劫持到不存在的文件上面会导致XP系统反复注销)
此步操作可能没有找到病毒劫持的userinit.exe项目,接下来定位到注册表项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
下找到里面的Userinit键值,将其数据修改为系统默认的值“C:\WINDOWS\system32\UserInit.exe”如图所示:
接下来我们需要将WinPE盘里面的userinit.exe文件替换系统目录下的文件,以便确保不是病毒修改替换过的文件。方法是浏览光驱找到I386目录下system32目录,右键单击userinit.exe文件后选择“复制到”,将默认路径X:\windows\system32输入对话框中(X 为系统盘符,通常为C盘) 如图所示:
如果在系统目录下存在userinit.exe文件的话,会有如下提示。建议点击“是”以避免之前文件被病毒修改。如图所示:
当注册表修改和文件替换均完成后重启计算机,反复注销的现象即可解决。(注意取出WinPE光盘,以避免之后反复进入WinPE系统)此方法仅供遇到此类现象的人士参考处理,系统没有此问题的用户请不要模仿类似操作。
新网银木马BankJp清除方案二:使用注册表编辑器编辑远程计算机的注册表
 
因方案一需要的WINPE光盘不是每个人都有,故提出使用注册表编辑器编辑远程计算机的注册表的方法。此方法仅供遇到此类现象的人士参考处理,系统没有此问题的用户请不要模仿类似操作。WINPE光盘也是需要微软授权的产品,不是每个电脑用户都有,这里补充另一个方法:你可以使用局域网中其它计算机完成本机的注册表修复。
Windows缺省情况下开启了远程注册表服务,可以使用正常电脑的注册表编辑器编辑远程的故障电脑注册表。如果本服务已经关闭,就只能用winpe了,其它方法更复杂。
新网银木马BankJp清除步骤:
1.单击开始,运行,输入regedit,打开注册表编辑器。
2.单击文件菜单,连接网络注册表。
3.输入远程计算的IP地址或\\机器名,连接成功后,输入远程计算机的管理员用户名密码。
接下来的步骤就和上面用Winpe编辑注册表的方法完全一样了。如果userinit.exe被病毒破坏,可以使用windows安装光盘启动后进行快速修复,以还原这个userinit.exe。
根据该病毒的行为,病毒将userinit.exe重命名为c_20911.nls,并从c:\windows\system32目录移动到了c:\windows\system32\dllcache\c_20911.nls,我们只需要使用copy命令,还原这个文件就可以。
命令为
copy c:\windows\system32\dllcache\c_20911.nls c:\windows\system32
 
重启,你的系统就恢复了。
新网银木马清除就向你介绍到这里,希望对你认识和清除该新网银木马有所帮助。


本文转自gauyanm 51CTO博客,原文链接:http://blog.51cto.com/gauyanm/229468,如需转载请自行联系原作者
相关文章
|
安全 网络协议 算法
电脑病毒木马的清除和防范方法
电脑病毒木马的清除和防范方法
1584 0
电脑病毒木马的清除和防范方法
|
缓存 前端开发 JavaScript
网站被劫持跳转的症状与木马清理
先来看一下这个症状是什么样的,这里我找到了一个客户网站的案例,那么当我在通过百度搜索某些关键词的时候,当我点击这个链接的时候,它会给你跳到这种菠菜的页面,那么怎么样判断它是前端还是后端PHP进行了一个劫持,那么我们就把这个链接复制过来,复制好了后,我打开这个调试面板,然后在这里有一个 settings的这个一个设置按钮,把这个disable javascript这个脚本把它禁用,那么禁用之后把刚才这复制过来的这个快照链接把它复制过来,然后敲一下回车,就会发现发现它是不会跳转的,所以对于这一种请求跳转,我们把它称之为叫做前端拦截。要知道前一两年这种形式还是比较少的,但是今年发现的就越来越多,原
770 0
网站被劫持跳转的症状与木马清理
|
SQL 监控 安全
网站木马清除对被植入木马 导致被西部数码关闭网站的解决办法
前段时间有一客户的网站打不开了,打开网站被提示什么:抱歉,主机因存在有害信息逾期未处理被关闭 Sorry, the site now can not be accessed. 客户第一时间找到我们SINE安全寻求解决方案,我们根据客户的反馈,进行详细的记录,分析问题,找到了被系统自动阻断拦截的原因,客户网站用的是西部数码主机,再一个主要的原因是,客户网站被篡改并上传了一些有害,违法的内容信息,导致被西部数码的有害信息监测处置系统监控到,立即进行了拦截,阻断处理。关于这个安全问题,我们记录下了整个的处理过程。
239 0
网站木马清除对被植入木马 导致被西部数码关闭网站的解决办法
|
开发框架 安全 .NET
阿里云 网站木马文件提醒该如何解决?
早上刚上班就有新客户咨询我们Sinesafe安全公司反映说收到一条阿里云的短信过来,内容为:网站木马文件提醒
266 0
阿里云 网站木马文件提醒该如何解决?
|
存储 运维 NoSQL
服务器被植入挖矿程序排查案例
主机的操作系统是CentOS7,应用架构是Java+MySQL+Redis。客户描述问题是有一个从下午2点到凌晨的秒杀活动。秒杀系统开始的时候是可以正常运行的,但是到了晚上7点就突然无法使用了,前台提交秒杀请求后,后端无响应,最终超时退出。
1000 0
|
安全 网络协议 Shell
查杀 libudev.so 和 XMR 挖矿程序记录
本次有多台服务器感染病毒,造成了不小的影响,主要的问题是因为 root 用户使用了强度较弱的口令,同时在公网暴露了 SSH 端口,另外虚拟机的基础镜像中就已经携带了病毒,造成每个产生的实例启动后都带上了病毒。
5498 0
|
安全 应用服务中间件 网络安全
Struts2致命远程执行代码漏洞植入门罗币挖矿安装病毒解决方法
早期由于redis低版本发现远程可执行代码漏洞,导致被黑客植入挖矿木马,服务器沦为矿机。今年Struts2又出现该漏洞,一年前自己有用Struts2编写过一个网站,没想到今天被我遇到了,特地写文章记录一下。
2303 0
|
安全 数据库 数据安全/隐私保护