Win32.Huhk.d.7607病毒

病毒名称：Win32.Huhk.d.7607
　　中文名称：网银隐身劫匪
　　病毒类型：盗号木马程序
　　病毒目的：感染IE，盗窃工行网银
　　本期医生：解国忠
读者反映：我的工行网银受到病毒危胁
　　我为了进行网上交易，很久前就开通了工商银行的网上银行，平时非常注重安全，时常杀毒。最近朋友在QQ上给我发消息，说有一种新的网银病毒出现了，专门盗工行的网银。我想请问医生，这个消息是不是真的？如果中了这个病毒，应该怎么清除？
病毒自述：感染IE窃取网银账号
　　“打打打劫，网银账号、密码，统统告诉我……”
　　对了，忘了进行自我介绍了，我就是传说中的“网银隐身劫匪”。我这个“人”最大的优点就是专一，只窃取工商银行网银的账号信息。当我通过网页木马进入系统以后，首先会感染系统中IE浏览器的主程序Iexplore.exe。由于我的体积非常小，受到感染的Iexplore.exe程序大小不会产生任何改变。
　　这样当用户使用IE浏览器登录工商银行的网银系统进行交易时，我就可以自动截取大量的相关信息（图1），包括用户的支付卡号、接收卡号、密码信息、收款人姓名、收款人所在地等，总之一句话全部的敏感信息都会被记录下来。当我获取到账号信息后，就会悄悄连接病毒作者指定的一个远程服务器，让病毒作者掌握用户的网银账号和密码，甚至包括系统中的个人隐私，从而给用户造成无法估计的损失。

　　所有的盗号、传输操作完成以后，我存在系统中也没有什么意义。因此我会在Windows系统目录中的备份Dllcache文件夹中，用原版的Iexplore.exe文件替换被感染的IE浏览器文件。这样系统就没有任何与我有关的痕迹，到时候用户想检测都没法检测得到，哈哈哈哈！
本期医生：替换Iexplore.exe再杀毒
　　“网银隐身劫匪”是一个典型的感染型病毒，虽然会给网银用户带来很大的危险，但是它技术含量不高，很容易就能清除。
　　首先利用Windows PE盘启动系统，进入到Windows PE盘的系统界面。通过资源管理器浏览Program Files文件夹，找到并选中IE浏览器的主文件Iexplore.exe，点击“复制到”命令，在弹出的窗口选择系统IE浏览器的路径X:\Program Files\Internet Explorer。这时系统会弹出相应的提示，直接点击“是”按钮就可以替换感染的IE浏览器文件（图2）。

　　重新启动系统，并在计算机开启BIOS加载完之后，迅速按下键盘的F8键。在出现的Windows高级选项菜单中选择“安全模式”。然后启动杀毒软件并升级到最新的病毒库，再进行查杀就可以清除病毒残留物。
　　由于现在网银病毒泛滥，使用文件数字证书或移动数字证书进行数据加密是防范网银被盗的最好办法。另外离开电脑系统时，最好将系统进行锁定或者拔掉保存有移动版数字证书的闪存盘。