|
在線銀行管理��、購物����、支付等已成為日常生活中應(yīng)用普遍的交易方式,因其方便����、快捷,而倍受青睞�。所謂“樹大招風(fēng)”,越來越多的不法之徒也開始利用網(wǎng)絡(luò)來伺機作案���,通過詐騙��、釣魚����、網(wǎng)絡(luò)漏洞等方式,窺視您的隱私��、財產(chǎn)�。所以隱私、財產(chǎn)一直是各安全廠商重點防護的對象�����。
近日����,AVG捕獲到一種專門盜取境外銀行賬戶的木馬,該木馬屬于內(nèi)存感染型木馬�����,通過感染內(nèi)存中winlogon.exe和explorer.exe進程�,進一步感染由explorer.exe啟動的每一個進程,下圖為被修改的explorer.exe進程中的ZwQueryDirectoryFile函數(shù)���,修改此函可以達到隱藏自身文件的目的�����,普通的文件管理工具和explorer.exe是無法查看到病毒文件�����。
以相同方式修改的函數(shù)還有:
1.注冊表相關(guān)函數(shù)(如ZwEnumerateValueKey)�,隱藏自身在注冊表中的啟動項�。
2.進程和線程相關(guān)函數(shù),達到感染新啟動的進程���。
3.網(wǎng)絡(luò)相關(guān)函數(shù)(如HttpSendRequest)��,監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)���。
當用戶訪問的銀行網(wǎng)站:(mszdt.com)時,木馬會修改網(wǎng)站:(mszdt.com)返回的數(shù)據(jù)����,呈現(xiàn)給用戶一個和正常銀行頁面十分相似的釣魚網(wǎng)頁,騙取用戶賬戶��、密碼信息。
上面兩幅圖為木馬執(zhí)行后和執(zhí)行前�����,對同一網(wǎng)站:(mszdt.com)進行訪問返回的結(jié)果(左邊為釣魚網(wǎng)頁���,右邊為正常網(wǎng)頁)���。可以看出����,返回的網(wǎng)頁數(shù)據(jù)相差甚遠,但呈現(xiàn)給用戶的頁面卻十分相似�����。
如果您沒有安裝AVG��,可以通過以下方式監(jiān)測該木馬是否已經(jīng)潛入您的系統(tǒng)�。
1.可以通過第三方的安全輔助工具,查看系統(tǒng)所在盤的根目錄下是否有名稱為RBin的文件�,查看該文件夾中是否有類似0A50B4EE74C.exe文件名的可執(zhí)行文件。如果沒有,那恭喜您�,該木馬目前還沒有進入您的系統(tǒng);如果存在該文件���,那您很不幸已經(jīng)中招了�,請趕緊修改您的相關(guān)賬戶密碼����,以免受更多損失。
2.在未使用網(wǎng)絡(luò)情況下��,查看是否有可疑網(wǎng)絡(luò)連接���。
如果您的系統(tǒng)已經(jīng)被侵入,可以采取以下方式修復(fù):
1.用第三方工具刪除指向RBin目錄下exe文件的啟動項����,重啟系統(tǒng)。
2.在PE模式下刪除病毒文件和注冊表啟動項�。
如果您有安裝AVG殺毒軟件,那您完全可以不同擔(dān)心����,AVG已經(jīng)可以有效監(jiān)測該木馬,保護您的系統(tǒng)安全,使您的財產(chǎn)免受損失����。如果您還沒有安裝AVG,那就趕快行動安裝吧�!讓您的系統(tǒng)遠離威脅,給您的生活帶來更多安全感����。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強�����!虛擬主機域名注冊頂級提供商�����!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
