Created: 2009-11-03 12:57:22
近期以「易語言編寫」病毒的感染大有越演越烈之勢,今次的Win32FlyStudio.NWV 特洛伊木馬又是一個資料夾病毒。儘管這類變種病毒數量正逐步增加,幸好病毒行為並沒有大的改變。而且ESET NOD32方面已經對此密的關注,並採取了進一步的措施去遏止其禍害,絕對是廣大電腦用戶的喜訊。
言歸正傳,此木馬程式跟舊有程式一樣,通過修改原資料夾隱藏屬性,達到隱藏原始資料夾的目的,並會創建同名同圖標的可執行檔案並隱藏去副檔名,從而騙取用戶點擊後傳播木馬。最後通過自己生成一個「.yax」檔案來修改註冊表,並利用此檔案達到啟動的目的。它會在system32資料夾內創建208090、562483、67DD4F及D26097四個資料夾(如圖)來存放病毒及運行支持庫檔案。該病毒除了對電腦本身有一定程度的損壞之外,最大的危害是它會定時連接外部非法伺服器,下載病毒及木馬來執行及竊取用戶數據,危害用戶的正常使用。
移除方法:
即時安裝ESET NOD32 4.0並更新至最新的病毒資料庫版本。之後在正常或安全模式下作全系統掃描,即可刪除此木馬及衍生物,最後手動修復受損資料夾後即可完成殺毒。
手動刪除參考方法:
1) 結束工作管理員裏的異常數字進程
2) 手動刪除上文中提到的四個病毒資料夾
3) 刪除下面這個註冊表啟動項目HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\CountHRZR_EHACVQY:%pfvqy2%\,啟動\S08219.yax
4) 手動清除系統暫存資料檔案,並刪除病毒可執行程式,最後修復受損資料夾屬性即可