2010-07-29
通過遠程控制強制用家使用IE
Win32/Spy.Bebloh.A木馬程式
文: Goofy Ko / 新聞中心
文章索引: IT要聞 ESET

防毒軟件商 ESET NOD 32 日前發表最新安全警示,指出發現 1 個命名為 Win32/Spy.Bebloh.A 的木馬程式正在肆虐,此木馬可以通過遠程被控制,當木馬運行後便會自身刪除,而且會在系統關鍵資料夾中生成可執行程序,迫使用戶使用 IE 瀏覽器瀏覽網頁或連接外部非法伺服器。

 

據 ESET NOD 32 指出, Win32/Spy.Bebloh.A 木馬程式設置了一個後門,可以通過遠程被控制,運行後會在系統關鍵資料夾中生成可執行程序,修改註冊表項劫持 userinit.exe 達到隨機啟動的目的,並採用映像劫持技術阻止某些瀏覽器程序的啟動,迫使用戶使用 IE 瀏覽器瀏覽網頁,而且亦會私自連接外部非法伺服器: nuomosus.cn/m5/login.php ; witosate.cn/m5/login.php ; cyboheig.cn/mp/login.php ,並啟動後將新建線程插入已有進程中。

 

用家要清除此病毒,除了可使用防毒軟體外,亦可透過手動方法,用家需先進入安全模式,並首先刪除 Windows XP 內 system32 下的病毒檔案,然後把 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions 路徑下的 chrome.exe  navigator.exe  opera.exe  safari.exe     userinit.exe 五項全部刪除,再刪除暫存資料夾中全部內容,最後完成重啟系統即可。

 

Eset HQ

分享到:
發表評論
本篇文章被 7943 人閱讀,共有 個評論