防毒軟件商 ESET NOD32 23 日表示，指出最近剛透過電子郵件附件截獲一個被命名為 IRC/SdBot Trojan 的木馬程式，木馬一旦執行後，系統會打開多個端口來進行監聽的動作，並會根據用戶當前的網路狀態來進行相應的行為，例如試圖與多個遠端主機進行通訊聯繫，藉此完成訊息竊取工作。

據 ESET NOD32 指出，的 IRC/SdBot Trojan 木馬是一個基於 IRC 協議，分佈式客戶端伺服器結構來進行遠端控制和傳播的木馬，執行後會在 c:\windows 或者是 c:\winnt 資料夾下生成 ggdrive32.exe ，運行以後會打開多個端口來進行監聽的動作，並試圖與多個遠端主機進行通訊聯繫，最為明顯的特點是會通過 1110 端口和 6939 端口進行遠端聯繫，通過指定的 url 下載其它木馬程序，其下載的 serv8.exe 將會完成訊息竊取工作與 ggdrive32.exe 之間相互進行輔助。

一旦運行後，木馬會在 c:\windows 或者是 c:\winnt 資料夾下生成 ggdrive32.exe ，並創建如下註冊表項：

[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run ]

Microsoft Driver Setup = " %Windir%\ggdrive32.exe "

[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ]

Microsoft Driver Setup = " %Windir%\ggdrive32.exe "

由於木馬會連接網路下載其它附屬的病毒檔案，手動清除主檔案往往不能有效解決問題，因此 ESET NOD32 建議用家不要以手動清除，其建議用家利用防毒產品來對受感染的系統進行掃描，以徹底清除病毒隱患。其步驟如下﹕

• 首先啟動系統並按 F8 鍵進入安全模式
• 在資料夾選項中，顯示隱藏檔案和操作系統受保護的檔案
• 刪除 c:\windows 或者是 c:\winnt 資料夾下的 ggdrive32.exe
• 來到註冊表編輯器，找到以下鍵值刪除
  [ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run ]
  Microsoft Driver Setup = " %Windir%\ggdrive32.exe "
  [ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ]
  Microsoft Driver Setup = " %Windir%\ggdrive32.exe "