通過1012端口、遠程IP通信盜取資料
Win32Spy.Agent.NMV 特洛伊木馬
文: Goofy Ko / 新聞中心
據防毒軟件廠商 ESET NOD32 的最新病毒偵測報告顯示並發現 Win32Spy.Agent.NMV 特洛伊木馬,此木馬程式主要通過網絡掛馬或軟體捆綁等方式傳播,利用遠程 IP 進行通信,藉此盜取用戶的私人資料。
在系統 windows 目錄下建立木馬衍生文件,並修改系統還原內容,當用家再次開機時,此木馬程式會啟動運行,每隔兩分鐘自動調用 svchost.exe 通過 1012 端口與遠程 IP 進行通信,藉此盜取用戶的私人資料,趁機進行網上非法活動。
針對此 Win32Spy.Agent.NMV 特洛伊木馬, ESET NOD32 發表其移除方法,可透過更新防毒軟體內的病毒資料庫,再利用掃描 C 盤清除病毒便可全刪除木馬及其衍生物。
此外,用家亦可手動作出刪除,用家可先關閉工作管理員內的 sysroot.exe 進程,利用手動刪除 C 槽 windows 目錄下的 sysroot.exe 和 Rar.exe ,再打開註冊登錄編輯器,刪除 HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache 下面的 C:\WINDOWS\sysroot.exe 鍵值,然後再清理系統暫存檔案,並手動創建系統還原點,當重啟系統後便發現此病毒已被清除。
