基本介紹
- 中文名:orz.exe
- 檔案大小:13312byte
- 描述:這是一個典型的下載者病毒
- 性質:木馬
木馬名稱:Trojan-Downloader.Win32.Losabel.nx
存在位置:C:\Documents ande Setting\Administrator\Local Settings\Temp\下
檔案名稱稱:orz.exe
出品公司:未知
產品名稱:未知
版本序號:不詳
檔案大小:13312byte
MD5值:79DEBC202002BDB95B813C088519C918
描述:這是一個典型的下載者病毒。
下載到:%windir%\nt_file_temp\list.bmp
這是一個下載地址列表,然後從這個列表上逐個下載病毒檔案。
orz.exe病毒專殺方法清除步驟:
2.清除IE臨時檔案;
3.刪除病毒檔案及註冊表鍵值;
病毒檔案可能存在於以下位置:
C:\WINDOWS\\nt_file_temp\list.bmp
C:\WINDOWS\system32\orz.exe
C:\Documents ande Setting\Administrator\Local Settings\Temp\orz.exe
4.將防毒軟體升級到最新病毒庫,進行全盤查殺,避免感染變種病毒。
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
近一周來,針對Adobe公司FlashPlayer播放器安全漏洞的計算機病毒大量湧現,其中以“Flash特務”為首的一系列病毒嚴重威脅著廣大用戶的電腦安全.Google電腦病毒熱搜榜上,新近流竄出來的ORZ.EXE名列第八,反映出該病毒已經在最近數周的時間裡產生了嚴重的影響.
一.行為概述
1.禁用系統安全中心、windows防火牆、系統還原;關閉毒霸、瑞星等安全軟體的進程、並將安全軟體的主要程式程式替換為無效的檔案;結束360的進程、刪除其進程檔案.並修改360的設定,使360的保護失效.確信解決掉用戶系統中的防毒軟體和安全輔助軟體後,此毒就在系統臨時目錄%temp%中釋放出一個木馬下載器檔案,它會在後台悄悄連線病毒作者指定的遠程地址,下載大量盜號木馬運行,釋放木馬下載者病毒.下載工作完成,病毒就調用自己的配置信息,恢復原來的時間,執行自動刪除指令,把自己的原始檔案、主檔案、驅動檔案等完全刪除,不留下一點痕跡.
2.刪除病毒運行過程中生成的所有檔案.註:此項可配置,若不設定,病毒會釋放副本C:\Progra~1\Realtek\ APPath\RTHDCPL.exe,並為之創建啟動項:
HKLM\SoftWare\Microsoft\Windows\ CurrentVersion\Run\Soundman.
二.Orz.exe病毒的刪除
一、將本進程檔案移動到同盤的根目錄,且重命名為x:\NTDUBECT.exe
二、禁用系統安全中心、windows防火牆、系統還原.
三、設定HKLM\software\360safe\safemon子鍵下的
ExecAccess,SiteAccess,MonAccess,VDiskAccess,ARPAccess,IEProtAccess為0.
檢測當前系統中是否有360tray.exe、360safe.exe,若有,結束進程、刪除進程檔案.
四、檢測系統中是否有ravmond.exe、kwatch.exe、kasmain.exe.若有:
1)將進程資源RCDATA/”ANTIR”釋放到%temp%\ANTIR.exe.
2)將進程資源RCDATA/”KNLPS”釋放到%temp%\ANTIR.sys.
3)生成批處理腳本%temp%\tmp.bat,並使用WinExec(”tmp.bat”,SW_HIDE)執行腳本關閉安全軟體的監控進程、刪除自身的檔案.
4)查詢HKLM\SOFTWARE\rising\Rav\installpath鍵值,得到瑞星的安裝路徑.將進程資源RCDATA/”SYSFILE”的內容釋放為與瑞星的檔案同路徑的檔案,以替換瑞星的程式檔案.
五、若生成了NTDUBECT.exe,調用命令行”cmd /c del”刪除之.
專家預防建議:
1.建立良好的安全習慣,不打開可疑郵件和可疑網站.
2.不要隨意接收聊天工具上傳送的檔案以及打開發過來的網站連結.
3.使用移動介質時最好使用滑鼠右鍵打開使用,必要時先要進行掃描.