安全警报：境外银行账户就一定安全吗？

　　近日，AVG捕获到一种专门盗取境外银行账户的木马，该木马属于内存感染型木马，通过感染内存中winlogon.exe和explorer.exe进程，进一步感染由explorer.exe启动的每一个进程，下图为被修改的explorer.exe进程中的ZwQueryDirectoryFile函数，修改此函可以达到隐藏自身文件的目的，普通的文件管理工具和explorer.exe是无法查看到病毒文件。

　　以相同方式修改的函数还有：

　　1.注册表相关函数（如ZwEnumerateValueKey），隐藏自身在注册表中的启动项。

　　2.进程和线程相关函数，达到感染新启动的进程。

　　3.网络相关函数（如HttpSendRequest），监控网络数据。

　　当用户访问的银行网站：（www.enkj.com）时，木马会修改网站：（www.enkj.com）返回的数据，呈现给用户一个和正常银行页面十分相似的钓鱼网页，骗取用户账户、密码信息。

　　上面两幅图为木马执行后和执行前，对同一网站：（www.enkj.com）进行访问返回的结果（左边为钓鱼网页，右边为正常网页）。可以看出，返回的网页数据相差甚远，但呈现给用户的页面却十分相似。

　　如果您没有安装AVG，可以通过以下方式监测该木马是否已经潜入您的系统。

　　1.可以通过第三方的安全辅助工具，查看系统所在盘的根目录下是否有名称为RBin的文件，查看该文件夹中是否有类似0A50B4EE74C.exe文件名的可执行文件。如果没有，那恭喜您，该木马目前还没有进入您的系统；如果存在该文件，那您很不幸已经中招了，请赶紧修改您的相关账户密码，以免受更多损失。

　　2.在未使用网络情况下，查看是否有可疑网络连接。

　　如果您的系统已经被侵入，可以采取以下方式修复：

　　1.用第三方工具删除指向RBin目录下exe文件的启动项，重启系统。

　　2.在PE模式下删除病毒文件和注册表启动项。

　　如果您有安装AVG杀毒软件，那您完全可以不同担心，AVG已经可以有效监测该木马，保护您的系统安全，使您的财产免受损失。如果您还没有安装AVG，那就赶快行动安装吧！让您的系统远离威胁，给您的生活带来更多安全感。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]