安全警報：境外銀行賬戶就一定安全嗎？

　　近日，AVG捕獲到一種專門盜取境外銀行賬戶的木馬，該木馬屬于內存感染型木馬，通過感染內存中winlogon.exe和explorer.exe進程，進一步感染由explorer.exe啟動的每一個進程，下圖為被修改的explorer.exe進程中的ZwQueryDirectoryFile函數，修改此函可以達到隱藏自身文件的目的，普通的文件管理工具和explorer.exe是無法查看到病毒文件。

　　以相同方式修改的函數還有：

　　1.注冊表相關函數（如ZwEnumerateValueKey），隱藏自身在注冊表中的啟動項。

　　2.進程和線程相關函數，達到感染新啟動的進程。

　　3.網絡相關函數（如HttpSendRequest），監控網絡數據。

　　當用戶訪問的銀行網站時，木馬會修改網站返回的數據，呈現給用戶一個和正常銀行頁面十分相似的釣魚網頁，騙取用戶賬戶、密碼信息。

　　上面兩幅圖為木馬執行后和執行前，對同一網站進行訪問返回的結果（左邊為釣魚網頁，右邊為正常網頁）。可以看出，返回的網頁數據相差甚遠，但呈現給用戶的頁面卻十分相似。

　　如果您沒有安裝AVG，可以通過以下方式監測該木馬是否已經潛入您的系統。

　　1.可以通過第三方的安全輔助工具，查看系統所在盤的根目錄下是否有名稱為RBin的文件，查看該文件夾中是否有類似0A50B4EE74C.exe文件名的可執行文件。如果沒有，那恭喜您，該木馬目前還沒有進入您的系統；如果存在該文件，那您很不幸已經中招了，請趕緊修改您的相關賬戶密碼，以免受更多損失。

　　2.在未使用網絡情況下，查看是否有可疑網絡連接。

　　如果您的系統已經被侵入，可以采取以下方式修復：

　　1.用第三方工具刪除指向RBin目錄下exe文件的啟動項，重啟系統。

　　2.在PE模式下刪除病毒文件和注冊表啟動項。

　　如果您有安裝AVG殺毒軟件，那您完全可以不同擔心，AVG已經可以有效監測該木馬，保護您的系統安全，使您的財產免受損失。如果您還沒有安裝AVG，那就趕快行動安裝吧！讓您的系統遠離威脅，給您的生活帶來更多安全感。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]