Win32/Rootkit.Agent.RYF特洛伊木馬
防毒軟體商 ESET NOD32 日前發表最新木馬、病毒偵測報告,指出最新發現一個被命名為 Win32/Rootkit.Agent.RYF 的特洛伊木馬,木馬會通過註冊服務傳播,用戶一旦感染,就會註冊眾多服務項目進行私人資訊的盜竊。
Win32/Rootkit.Agent.RYF 特洛伊木馬是一個典型的驅動級別注入式木馬,主要是通過網站掛馬和檔案捆綁等方式,利用註冊服務進而傳播,添加註冊表項達到自啟動的目的,並在系統關鍵目錄下創建 .sys 檔案,據 ESET NOD 32 表示,由於 sys 檔案的訪問權限較高,故而能達到隱藏進程及服務等信息。
當用戶一旦受忘木馬感染後,系統會註冊眾多服務項目,並進行私人資訊的剽竊,祭後下載其他惡意程序使系統運行不正常,再進行破壞安全模式,導致安全模式無法進入或出現藍屏等錯誤。
因此, ESET NOD32 建議用戶應時常為系統掃描,一旦感染便應立即刪除木馬,除了利用防毒軟體進行外,用戶亦可透過手動方式刪除,方法如下﹕
請先斷開網路,手動打開註冊表編輯器或其他註冊表編輯軟體,找到以下項目並刪除之:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ezdgjg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ezdgjg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 此路徑下所有 ezdgjg 相關項全部刪除。
然後用戶需要手動刪除系統 system32/drivers 下面的 ezdgjg.sys 檔案,再清理系統暫存資料夾,最後重啟系統即可。