AVG：境外账户就一定安全吗？

在线 银行管理、 购物、支付等已成为日常生活中应用普遍的交易方式，因其方便、快捷，而倍受青睐。 所谓“树大招风”，越来越多的不法之徒也开始利用网络 来伺机作案，通过诈骗、钓鱼、网络漏洞等方式，窥视您的隐私、财产 。 所以隐私、财产一直是各安全厂商重点防护的对象。

近日， AVG 捕获到一种专门盗取境外银行 账户 的 木马，该木马属于内存感染型木马，通过感染内存中 winlogon.exe 和 explorer.exe 进程，进一步感染由 explorer.exe 启动的每一个进程 ，下图为被修改的 explorer.exe 进程中的 ZwQueryDirectoryFile 函数，修改此函可以达到隐藏自身文件的目的，普通的文件管理工具和 explorer.exe 是无法查看到病毒文件。

以相同方式修改的 函数还有：

注册表相关函数(如 ZwEnumerateValueKey )，隐藏自身在注册表中的启动项。

进程和线程相关函数，达到感染新启动的进程。

网络相关函数(如 HttpSendRequest )， 监控网络数据。

当用户访问的银行网站时，木马会 修改 网站返回的数据，呈现给用户一个和 正常银行页面 十分相似的钓鱼网页，骗取用户账户、密码信息。

上面两幅图为木马执行后和执行前，对同一网站进行访问返回的结果(左边为钓鱼网页，右边为正常网页)。 可以看出，返回的网页数据相差甚远，但呈现给用户的页面却十分相似。

如果您没有安装 AVG ，可以通过以下方式监测该木马是否已经潜入您的系统。

可以通过第三方的安全辅助工具，查看系统所在盘的根目录下是否有名称为 RBin 的文件，查看该文件夹中是否有类似 0A50B4EE74C.exe 文件名的可执行文件。如果没有，那恭喜您，该木马目前还没有进入您的系统;如果存在该文件，那您很不幸已经中招了，请赶紧修改您的相关账户密码，以免受更多损失。

在未使用网络情况下，查看是否有可疑网络连接。

如果您的系统已经被侵入，可以采取以下方式修复：

用第三方工具删除指向 RBin 目录下 exe 文件的启动项，重启系统。

在 PE 模式下删除病毒文件和注册表启动项。

如果您有安装 AVG 杀毒软件，那您完全可以不同担心， AVG 已经可 以有效监测该木马，保护您的系统安全，使 您的财产 免受 损失 。 如果您还没有安装 AVG ，那就赶快行动安装吧 ! 让 您的系统远离威胁， 给 您的生活带来更多安全感。