三、“网银大盗”及变种（Troj.KeyLog或Trojan/PSW.HidWebmon ）

　　“网银大盗”及其以及变种A和B的出现曾一度引起人们对网上银行交易安全问题的恐慌，安全公司甚至发布警告，要求用户在那一时期内中断网上支付和交易活动。它们都属于特洛伊木马程序，通过网络传播，可以影响包括Win9x/2000/XP/2003在内的所有Windows操作系统。其中“网银大盗”只盗取工商银行个人网上银行账户及密码，然后通过自带的SMTP发信模块，以电子邮件形式把记录的用户信息发到木马作者指定信箱中，再利用转账、网上支付等手段窃取用户网上银行中的存款。变种B的危害则达到了登峰造极的地步，利用键盘记录的方式，几乎可以盗取全国所有个人网上银行的帐号及密码，然后通过提交asp动态网页的方式将密码发送到指定的服务器。变种C则利用OLE插入技术，直接读取IE页面控件内容，比“网银大盗”监控的范围更广，盗取包括8家著名国外银行的帐号及密码。

　　清除方法：按CTRL+ALT+DEL打开任务管理器，在“进程”标签下查看系统中是否有以下程序在运行：expl0er.exe（网银大盗）、svch0st.exe（变种A）、user32.exe（变种B），因为前两个木马程序都对文件名进行了伪装，与正常的系统文件非常容易混淆，木马程序名中为数字“0”，而正常系统文件名中则为字母“o”。如果发现任意一个，立刻结束它的进程。如果你使用的是WIN XP系统，请先关闭系统还原功能（右键点击“我的电脑”，在出现的菜单中选择“属性”，打开“系统属性”对话框。切换到“系统还原”选项卡，在其中“在所有驱动器上关闭系统还原”前打上勾即可。然后利用“搜索”功能，到系统目录下查找前面提到的三个病毒文件，发现后按SHIFT+DEL键直接删除它们。接下来还要查找“expl0er.dll”（这是网银大盗创建用来挂钩和发信模块的文件）、“mssdk32.dll”和“mslib32.dll”（这两个是变种B创建的用来设置消息挂钩，并对IE页面控件进行监视的文件）发现后请一并删除。

　　最后在“运行”中输入“regedit.exe”打开注册表编辑器，依次展开[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion] 和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]，检查所有以“RUN”开头的键下以及[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下，路径指向前面三个程序的启动项，例如：“svch0st.exe” = “%SystemDir%\svch0st.exe”、“taskmgr.exe” = “%SystemDir%\svch0st.exe”、 "User Mansger" = "%SystemRoot%\system\user32.exe"、"Shell" = "explorer.exe %SystemRoot%\system\user32.exe"，发现后删除这些键值。（注意：请事先利用注册表导出功能备份注册表文件，以便在出现误操作时能够恢复）

　　没有经验的朋友，可以下载专杀工具进行清除。（待续）