2010-04-13
藉快遞訊息植入 oficla 木馬
Win32Oficla.FO 特洛伊木馬
文: Daisy Leung / 新聞中心
文章索引: IT要聞 軟件 NOD32

據 12 日發表的 ESET NOD32 病毒示警指出,發現一個名為 Win32Oficla.FO 特洛伊木馬的病毒,此病毒是在電子郵件的附件中被截獲的,郵件內容大致是 UPS 快遞提示您的快遞物品因地址錯誤而無法投遞,請聯繫後自取,並且添加了一個 word 圖標的可執行程式,用戶不小心執行即會被植入 oficla 木馬。

 

此木馬的主要危害是下載惡意程式到本地,並接受郵件指令運行 .exe 可執行程序,此外木馬使用 http 通訊協定,包含一個 url 列表,修改登錄表來隨機啟動。

 

除可透過觔毒軟件清除病毒外,用家亦可自行以手動方式進行清除,其方法如下﹕

 

用家可先手動刪除 System32 下的 lgou.rlo 以及 reader_s.exe ,並用同系統的檔案替換 drivers 下的 NDIS.sys. ,其後刪除以下登錄表項目:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run reader_s

" C:\WINDOWS\System32\reader_s.exe ",搜尋登錄表找尋 lgou.rlo 相關項目並刪除,再清理系統暫存資料夾及重啟系統即可。

 

 

Eset HQ

發表評論