安全警报:境外银行账户就一定安全吗?

  • A+
所属分类:未分类

在线银行管理、购物、支付等已成为日常生活中应用普遍的交易方式,因其方便、快捷,而倍受青睐。所谓“树大招风”,越来越多的不法之徒也开始利用网络来伺机作案,通过诈骗、钓鱼、网络漏洞等方式,窥视您的隐私、财产。所以隐私、财产一直是各安全厂商重点防护的对象。

  近日,AVG捕获到一种专门盗取境外银行账户的木马,该木马属于内存感染型木马,通过感染内存中winlogon.exe和explorer.exe进程,进一步感染由explorer.exe启动的每一个进程,下图为被修改的explorer.exe进程中的ZwQueryDirectoryFile函数,修改此函可以达到隐藏自身文件的目的,普通的文件管理工具和explorer.exe是无法查看到病毒文件。

  以相同方式修改的函数还有:

  1.注册表相关函数(如ZwEnumerateValueKey),隐藏自身在注册表中的启动项。

  2.进程和线程相关函数,达到感染新启动的进程。

  3.网络相关函数(如HttpSendRequest),监控网络数据。

  当用户访问的银行网站时,木马会修改网站返回的数据,呈现给用户一个和正常银行页面十分相似的钓鱼网页,骗取用户账户、密码信息。

  上面两幅图为木马执行后和执行前,对同一网站进行访问返回的结果(左边为钓鱼网页,右边为正常网页)。可以看出,返回的网页数据相差甚远,但呈现给用户的页面却十分相似。

  如果您没有安装AVG,可以通过以下方式监测该木马是否已经潜入您的系统。

  1.可以通过第三方的安全辅助工具,查看系统所在盘的根目录下是否有名称为RBin的文件,查看该文件夹中是否有类似0A50B4EE74C.exe文件名的可执行文件。如果没有,那恭喜您,该木马目前还没有进入您的系统;如果存在该文件,那您很不幸已经中招了,请赶紧修改您的相关账户密码,以免受更多损失。

  2.在未使用网络情况下,查看是否有可疑网络连接。

  如果您的系统已经被侵入,可以采取以下方式修复:

  1.用第三方工具删除指向RBin目录下exe文件的启动项,重启系统。

  2.在PE模式下删除病毒文件和注册表启动项。

  如果您有安装AVG杀毒软件,那您完全可以不同担心,AVG已经可以有效监测该木马,保护您的系统安全,使您的财产免受损失。如果您还没有安装AVG,那就赶快行动安装吧!让您的系统远离威胁,给您的生活带来更多安全感。

本文出自:亿恩科技【www.enkj.com】

河南亿恩科技股份有限公司(www.enkj.com)始创于2000年,专注服务器托管19年,是国家工信部认定的综合电信服务运营商。亿恩为近五十万的用户提供服务器托管、服务器租用、机柜租用、云服务器、网站建设等网络基础服务,另有网总管、名片侠网络推广服务,使得客户不断的获得更大的收益。 服务热线:400-723-6868 服务器/云主机 24小时售后服务电话:0371-60135900 虚拟主机/智能建站 24小时售后服务电话:0371-55621053
广告也精彩
avatar

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: