2011-02-23
透過網路聯繫遠端主機進行竊取
截獲IRC/SdBot Trojan的木馬程式
文: Jack Choi / 新聞中心
文章索引: IT要聞 ESET

防毒軟件商 ESET NOD32 23 日表示,指出最近剛透過電子郵件附件截獲一個被命名為 IRC/SdBot Trojan 的木馬程式,木馬一旦執行後,系統會打開多個端口來進行監聽的動作,並會根據用戶當前的網路狀態來進行相應的行為,例如試圖與多個遠端主機進行通訊聯繫,藉此完成訊息竊取工作。

 

據 ESET NOD32 指出,的 IRC/SdBot Trojan 木馬是一個基於 IRC 協議,分佈式客戶端伺服器結構來進行遠端控制和傳播的木馬,執行後會在 c:\windows 或者是 c:\winnt 資料夾下生成 ggdrive32.exe ,運行以後會打開多個端口來進行監聽的動作,並試圖與多個遠端主機進行通訊聯繫,最為明顯的特點是會通過 1110 端口和 6939 端口進行遠端聯繫,通過指定的 url 下載其它木馬程序,其下載的 serv8.exe 將會完成訊息竊取工作與 ggdrive32.exe 之間相互進行輔助。

 

一旦運行後,木馬會在 c:\windows 或者是 c:\winnt 資料夾下生成 ggdrive32.exe ,並創建如下註冊表項:

[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run ]

Microsoft Driver Setup = " %Windir%\ggdrive32.exe "

[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ]

Microsoft Driver Setup = " %Windir%\ggdrive32.exe "

 

由於木馬會連接網路下載其它附屬的病毒檔案,手動清除主檔案往往不能有效解決問題,因此 ESET NOD32 建議用家不要以手動清除,其建議用家利用防毒產品來對受感染的系統進行掃描,以徹底清除病毒隱患。其步驟如下﹕

 

  • 首先啟動系統並按 F8 鍵進入安全模式
  • 在資料夾選項中,顯示隱藏檔案和操作系統受保護的檔案
  • 刪除 c:\windows 或者是 c:\winnt 資料夾下的 ggdrive32.exe
  • 來到註冊表編輯器,找到以下鍵值刪除
    [ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run ]
    Microsoft Driver Setup = " %Windir%\ggdrive32.exe "
    [ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ]
    Microsoft Driver Setup = " %Windir%\ggdrive32.exe "

  • Eset HQ

分享到:
發表評論
本篇文章被 9273 人閱讀,共有 個評論