安全警報(bào)：境外銀行賬戶就一定安全嗎？

　　近日，AVG捕獲到一種專門(mén)盜取境外銀行賬戶的木馬，該木馬屬于內(nèi)存感染型木馬，通過(guò)感染內(nèi)存中winlogon.exe和explorer.exe進(jìn)程，進(jìn)一步感染由explorer.exe啟動(dòng)的每一個(gè)進(jìn)程，下圖為被修改的explorer.exe進(jìn)程中的ZwQueryDirectoryFile函數(shù)，修改此函可以達(dá)到隱藏自身文件的目的，普通的文件管理工具和explorer.exe是無(wú)法查看到病毒文件。

　　以相同方式修改的函數(shù)還有：

　　1.注冊(cè)表相關(guān)函數(shù)（如ZwEnumerateValueKey），隱藏自身在注冊(cè)表中的啟動(dòng)項(xiàng)。

　　2.進(jìn)程和線程相關(guān)函數(shù)，達(dá)到感染新啟動(dòng)的進(jìn)程。

　　3.網(wǎng)絡(luò)相關(guān)函數(shù)（如HttpSendRequest），監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)。

　　當(dāng)用戶訪問(wèn)的銀行網(wǎng)站：（1tcdy.com）時(shí)，木馬會(huì)修改網(wǎng)站：（1tcdy.com）返回的數(shù)據(jù)，呈現(xiàn)給用戶一個(gè)和正常銀行頁(yè)面十分相似的釣魚(yú)網(wǎng)頁(yè)，騙取用戶賬戶、密碼信息。

　　上面兩幅圖為木馬執(zhí)行后和執(zhí)行前，對(duì)同一網(wǎng)站：（1tcdy.com）進(jìn)行訪問(wèn)返回的結(jié)果（左邊為釣魚(yú)網(wǎng)頁(yè)，右邊為正常網(wǎng)頁(yè)）�？梢钥闯�，返回的網(wǎng)頁(yè)數(shù)據(jù)相差甚遠(yuǎn)，但呈現(xiàn)給用戶的頁(yè)面卻十分相似。

　　如果您沒(méi)有安裝AVG，可以通過(guò)以下方式監(jiān)測(cè)該木馬是否已經(jīng)潛入您的系統(tǒng)。

　　1.可以通過(guò)第三方的安全輔助工具，查看系統(tǒng)所在盤(pán)的根目錄下是否有名稱為RBin的文件，查看該文件夾中是否有類似0A50B4EE74C.exe文件名的可執(zhí)行文件。如果沒(méi)有，那恭喜您，該木馬目前還沒(méi)有進(jìn)入您的系統(tǒng)；如果存在該文件，那您很不幸已經(jīng)中招了，請(qǐng)趕緊修改您的相關(guān)賬戶密碼，以免受更多損失。

　　2.在未使用網(wǎng)絡(luò)情況下，查看是否有可疑網(wǎng)絡(luò)連接。

　　如果您的系統(tǒng)已經(jīng)被侵入，可以采取以下方式修復(fù)：

　　1.用第三方工具刪除指向RBin目錄下exe文件的啟動(dòng)項(xiàng)，重啟系統(tǒng)。

　　2.在PE模式下刪除病毒文件和注冊(cè)表啟動(dòng)項(xiàng)。

　　如果您有安裝AVG殺毒軟件，那您完全可以不同擔(dān)心，AVG已經(jīng)可以有效監(jiān)測(cè)該木馬，保護(hù)您的系統(tǒng)安全，使您的財(cái)產(chǎn)免受損失。如果您還沒(méi)有安裝AVG，那就趕快行動(dòng)安裝吧！讓您的系統(tǒng)遠(yuǎn)離威脅，給您的生活帶來(lái)更多安全感。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]