orz.exe

orz.exe是一個網頁木馬而不是系統進程,主要利用swf溢出漏洞進行傳播。該木馬在連線到主站後會下載大量的盜號木馬,因此,在清除該病毒之前,需要先修復swf溢出漏洞。

基本介紹

  • 中文名:orz.exe
  • 檔案大小:13312byte
  • 描述:這是一個典型的下載者病毒
  • 性質木馬
木馬名稱:Trojan-Downloader.Win32.Losabel.nx
存在位置:C:\Documents ande Setting\Administrator\Local Settings\Temp\下
檔案名稱稱:orz.exe
出品公司:未知
產品名稱:未知
版本序號:不詳
檔案大小:13312byte
MD5值:79DEBC202002BDB95B813C088519C918
描述:這是一個典型的下載者病毒。
下載到:%windir%\nt_file_temp\list.bmp
這是一個下載地址列表,然後從這個列表上逐個下載病毒檔案。
orz.exe病毒專殺方法清除步驟:
1.關閉系統還原功能,重啟電腦進入安全模式
2.清除IE臨時檔案;
3.刪除病毒檔案及註冊表鍵值
病毒檔案可能存在於以下位置:
C:\WINDOWS\\nt_file_temp\list.bmp
C:\WINDOWS\system32\orz.exe
C:\Documents ande Setting\Administrator\Local Settings\Temp\orz.exe
如果在安全模式下仍然無法刪除檔案,請使用專業工具。
4.將防毒軟體升級到最新病毒庫,進行全盤查殺,避免感染變種病毒。
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
近一周來,針對Adobe公司FlashPlayer播放器安全漏洞的計算機病毒大量湧現,其中以“Flash特務”為首的一系列病毒嚴重威脅著廣大用戶的電腦安全.Google電腦病毒熱搜榜上,新近流竄出來的ORZ.EXE名列第八,反映出該病毒已經在最近數周的時間裡產生了嚴重的影響.
“Flash特務”病毒最大的特點是它可以完全刪除自己的所有檔案.該病毒通過Flash漏洞潛入電腦後會破壞多款國產防毒軟體安全輔助軟體的正常運行,然後下載大量盜號木馬到系統中,運行完畢後病毒會完全刪除自己的全部檔案,作案後不留下任何證據.這意味著,病毒逃避查殺的方式有了新突破,病毒的犯罪過程已越來越隱蔽,就像一個特務病毒,以後用戶即便遭受了攻擊,也無法追查兇手.
ORZ.EXE病毒,就是毒霸命名的FLASH特務,ORZ是網路流行語,又被稱作腦殘文或火星文.其現象和AV終結者類似,只是這種病毒並不直接完成其它木馬的下載,表現為象個探子,入侵後,想辦法把保全搞掉,然後再釋放木馬下載器,下載更多的病毒木馬.該病毒的廣泛瀏覽,與flash外掛程式漏洞被公布利用密切相關.
以下是Flash特務病毒(ORZ.EXE病毒)分析報告,有關該病毒的具體現象和清除.當它們進入用戶系統後就會迅速運行起來,大量占用系統資源,導致電腦運行越來越慢,甚至造成當機.
一.行為概述
1.禁用系統安全中心、windows防火牆系統還原;關閉毒霸瑞星安全軟體的進程、並將安全軟體的主要程式程式替換為無效的檔案;結束360的進程、刪除其進程檔案.並修改360的設定,使360的保護失效.確信解決掉用戶系統中的防毒軟體安全輔助軟體後,此毒就在系統臨時目錄%temp%中釋放出一個木馬下載器檔案,它會在後台悄悄連線病毒作者指定的遠程地址,下載大量盜號木馬運行,釋放木馬下載者病毒.下載工作完成,病毒就調用自己的配置信息,恢復原來的時間,執行自動刪除指令,把自己的原始檔案、主檔案、驅動檔案等完全刪除,不留下一點痕跡.
2.刪除病毒運行過程中生成的所有檔案.註:此項可配置,若不設定,病毒會釋放副本C:\Progra~1\Realtek\ APPath\RTHDCPL.exe,並為之創建啟動項:
HKLM\SoftWare\Microsoft\Windows\ CurrentVersion\Run\Soundman.
二.Orz.exe病毒的刪除
一、將本進程檔案移動到同盤的根目錄,且重命名為x:\NTDUBECT.exe
二、禁用系統安全中心、windows防火牆、系統還原.
三、設定HKLM\software\360safe\safemon子鍵下的
ExecAccess,SiteAccess,MonAccess,VDiskAccess,ARPAccess,IEProtAccess為0.
檢測當前系統中是否有360tray.exe、360safe.exe,若有,結束進程、刪除進程檔案.
四、檢測系統中是否有ravmond.exe、kwatch.exe、kasmain.exe.若有:
1)將進程資源RCDATA/”ANTIR”釋放到%temp%\ANTIR.exe.
2)將進程資源RCDATA/”KNLPS”釋放到%temp%\ANTIR.sys.
3)生成批處理腳本%temp%\tmp.bat,並使用WinExec(”tmp.bat”,SW_HIDE)執行腳本關閉安全軟體的監控進程、刪除自身的檔案.
4)查詢HKLM\SOFTWARE\rising\Rav\installpath鍵值,得到瑞星的安裝路徑.將進程資源RCDATA/”SYSFILE”的內容釋放為與瑞星的檔案同路徑的檔案,以替換瑞星的程式檔案.
五、若生成了NTDUBECT.exe,調用命令行”cmd /c del”刪除之.
六、建立映像劫持,此項可由配置信息控制,令很多安全軟體不能運行.
專家預防建議:
1.建立良好的安全習慣,不打開可疑郵件和可疑網站.
2.不要隨意接收聊天工具上傳送的檔案以及打開發過來的網站連結.
3.使用移動介質時最好使用滑鼠右鍵打開使用,必要時先要進行掃描.
4.現在有很多利用系統漏洞傳播的病毒,所以給系統打全補丁也很關鍵.
5.安裝專業的防毒軟體升級到最新版本,並開啟實時監控功能.
6.為本機管理員帳號設定較為複雜的密碼,預防病毒通過密碼猜測進行傳播,最好是數字與字母組合的密碼.
7.不要從不可靠的渠道下載軟體,因為這些軟體很可能是帶有病毒的.
——更多資訊請登入金山毒霸官方網站查詢。

相關詞條

熱門詞條

聯絡我們