|
在線銀行管理、購(gòu)物��、支付等已成為日常生活中應(yīng)用普遍的交易方式���,因其方便�、快捷��,而倍受青睞�����。所謂“樹大招風(fēng)”�,越來越多的不法之徒也開始利用網(wǎng)絡(luò)來伺機(jī)作案����,通過詐騙、釣魚�、網(wǎng)絡(luò)漏洞等方式,窺視您的隱私�����、財(cái)產(chǎn)���。所以隱私��、財(cái)產(chǎn)一直是各安全廠商重點(diǎn)防護(hù)的對(duì)象���。
近日��,AVG捕獲到一種專門盜取境外銀行賬戶的木馬�����,該木馬屬于內(nèi)存感染型木馬�,通過感染內(nèi)存中winlogon.exe和explorer.exe進(jìn)程�,進(jìn)一步感染由explorer.exe啟動(dòng)的每一個(gè)進(jìn)程,下圖為被修改的explorer.exe進(jìn)程中的ZwQueryDirectoryFile函數(shù)�����,修改此函可以達(dá)到隱藏自身文件的目的��,普通的文件管理工具和explorer.exe是無法查看到病毒文件��。
以相同方式修改的函數(shù)還有:
1.注冊(cè)表相關(guān)函數(shù)(如ZwEnumerateValueKey)���,隱藏自身在注冊(cè)表中的啟動(dòng)項(xiàng)�。
2.進(jìn)程和線程相關(guān)函數(shù),達(dá)到感染新啟動(dòng)的進(jìn)程�。
3.網(wǎng)絡(luò)相關(guān)函數(shù)(如HttpSendRequest),監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)�����。
當(dāng)用戶訪問的銀行網(wǎng)站:(mszdt.com)時(shí)�����,木馬會(huì)修改網(wǎng)站:(mszdt.com)返回的數(shù)據(jù)��,呈現(xiàn)給用戶一個(gè)和正常銀行頁(yè)面十分相似的釣魚網(wǎng)頁(yè)�����,騙取用戶賬戶�����、密碼信息���。
上面兩幅圖為木馬執(zhí)行后和執(zhí)行前,對(duì)同一網(wǎng)站:(mszdt.com)進(jìn)行訪問返回的結(jié)果(左邊為釣魚網(wǎng)頁(yè)��,右邊為正常網(wǎng)頁(yè))���?梢钥闯����,返回的網(wǎng)頁(yè)數(shù)據(jù)相差甚遠(yuǎn)��,但呈現(xiàn)給用戶的頁(yè)面卻十分相似�����。
如果您沒有安裝AVG���,可以通過以下方式監(jiān)測(cè)該木馬是否已經(jīng)潛入您的系統(tǒng)���。
1.可以通過第三方的安全輔助工具,查看系統(tǒng)所在盤的根目錄下是否有名稱為RBin的文件�,查看該文件夾中是否有類似0A50B4EE74C.exe文件名的可執(zhí)行文件。如果沒有����,那恭喜您,該木馬目前還沒有進(jìn)入您的系統(tǒng)����;如果存在該文件���,那您很不幸已經(jīng)中招了,請(qǐng)趕緊修改您的相關(guān)賬戶密碼����,以免受更多損失。
2.在未使用網(wǎng)絡(luò)情況下���,查看是否有可疑網(wǎng)絡(luò)連接��。
如果您的系統(tǒng)已經(jīng)被侵入�,可以采取以下方式修復(fù):
1.用第三方工具刪除指向RBin目錄下exe文件的啟動(dòng)項(xiàng)����,重啟系統(tǒng)。
2.在PE模式下刪除病毒文件和注冊(cè)表啟動(dòng)項(xiàng)�����。
如果您有安裝AVG殺毒軟件�,那您完全可以不同擔(dān)心���,AVG已經(jīng)可以有效監(jiān)測(cè)該木馬���,保護(hù)您的系統(tǒng)安全����,使您的財(cái)產(chǎn)免受損失����。如果您還沒有安裝AVG,那就趕快行動(dòng)安裝吧����!讓您的系統(tǒng)遠(yuǎn)離威脅,給您的生活帶來更多安全感���。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�����!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
