2010-10-27
發送數據封包竊取用戶個人資料
NOD32 截獲Win32/AntiAV.NEG木馬
文: Gary Ng / 新聞中心
文章索引: IT要聞 軟件 ESET

防毒軟體廠商 ESET NOD32 26 日發佈最新病毒資訊報告,據報告顯示,最近中國內地截獲一個 AntiAV 病毒,感染後會使電腦向外部發送數據封包,並有機會讓不法份子竊取用戶個人資料,鍵盤輸入記憶等, ESET NOD32 使其命名為 Win32/AntiAV.NEG 特洛伊木馬。

 

據 ESET NOD32 表示, Win32/AntiAV.NEG 特洛伊木馬近期屢屢成為病毒傳播的載體,此病毒是綁定為一個「快播」播放器的遠端安裝封包程式的形式,建議大家在網路上安裝 Qvod 快播播放器時,一定要去官方網站來下載安裝程序。假如用戶的系統不小心誤受此病毒感染,會使電腦向外部發送數據封包,並從外部 IP 下載數據資料,然後創建註冊表項目並設置隨機啟動項目,再在 IE 內插入了一個瀏覽器加載項目,以藉此竊取用戶個人資料,而且 Win32/AntiAV.NEG 採取了 rootkit 技術來隱藏驅動檔案,會躲避或迷惑防毒軟體的偵測。

 

用戶除了可透過防毒軟體進行全系統掃描系統清理外,還可利用手動方法自行刪除病毒,用戶只需關閉系統還原功能,其法法簡單,只需單擊「我的電腦」,選擇內容,在系統內容中選擇系統還原頁面,並,勾選「在所有磁碟上關閉系統還原」,關閉系統還原功能。

 

關閉還原功能後,用戶需重新開機,並按 F8 進安全模式,刪除系統服務管理裡面所對應的 Driver 服務,刪除以下所有檔案及目錄:
%Temp%\nsw4.tmp
%ProgramFiles%\QvodPlayer
%ProgramFiles%\QvodPlayer\Data
%ProgramFiles%\QvodPlayer\Data\AD
%ProgramFiles%\WLmhzx


再刪除以下病毒創建註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5A041F13-A111-12A1-B0CF-F99818AA68A5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5A041F13-A111-12A1-B0CF-F99818AA68A5}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{12345678-b1gf-14d0-89bb-0090ce808666}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5A041F13-A111-12A1-B0CF-F99818AA68A5}
HKEY_LOCAL_MACHINE\SOFTWARE\QvodPlayer
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Keyboard Layouts\E0200804
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Driver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Driver\Security
HKEY_CURRENT_USER\Software\QvodPlayer
[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ]
system = " %System%\system.exe "
[ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ]
QvodPlayer = " %ProgramFiles%\QvodPlayer\QvodTerminal.exe "

最後重啟系統回到正常模式下清理所有的暫存資料夾便可。

 

Eset HQ

分享到:
發表評論
本篇文章被 11038 人閱讀,共有 個評論