Google电脑病毒热搜榜中ORZ.EXE名列第八

By sunray 2008/06/16 18:42  安全┊黑客资讯 
| |

今天关注了下Google电脑病毒热搜榜,发现ORZ.EXE名列第八,反映出该病毒已经在最近数周的时间里产生了严重的影响。



AV终结者病毒在近一年左右的时间里,高居榜首,其实现在发现的很多木马病毒和最开始的AV终结者病毒并无渊源。但造成严重影响的这类病毒的现象大致都是一样的,直接破坏杀毒软件,令杀毒软件无法正常工作,具备这一类破坏现象的病毒均被计算机用户统称为”AV终结者“。


ORZ.EXE病毒,就是毒霸命名的FLASH特务,其现象和AV终结者类似,只是这种病毒并不直接完成其它木马的下载,表现为象个探子,入侵后,想办法把保安搞掉,然后再释放木马下载器,下载更多的病毒木马。该病毒的广泛浏览,与flash插件漏洞被公布利用密切相关。


ORZ是网络流行语,又被称作脑残文或火星文。囧rz “/口\”失意体前屈,囧读作“炯”


失意体前屈,原本指的是网络上流行的表情符号:_| ̄|○ 它看起来像是一个人跪倒在地上,低着头,一副“天啊,你为何这样对我”的动作。这个符号用在ORZ病毒的现象上,真是非常之形象。


例句;我买的球队又输了,真Orz!


以下是Flash特务病毒(ORZ.EXE病毒)分析报告,有关该病毒的具体现象和清除,请阅读此前发表过的另一文章:毒霸变灰的染毒实例及完整解决方案


Flash特务(Orz.exe病毒)分析报告


一.行为概述


1.关闭毒霸、瑞星等安全软件的进程、并将安全软件的主要程序程序替换为无效的文件。


2.禁用系统安全中心、windows防火墙、系统还原。


3.结束360的进程、删除其进程文件。并修改360的设置,使360的保护失效。


4.释放木马下载者病毒。


5.删除病毒运行过程中生成的所有文件(不含释放的木马下载者)。注:此项可配置,若不设置,病毒会释放副本C:\Progra~1\Realtek\ APPath\RTHDCPL.exe,并为之创建启动项:


HKLM\SoftWare\Microsoft\Windows\ CurrentVersion\Run\Soundman。


二.Orz.exe


1.将本进程文件移动到同盘的根目录,且重命名为x:\NTDUBECT.exe


2.根据查找是否有avp.exe进程、是否可以修改系统时间来检测当前系统中是否有装有卡巴斯基,若有,程序返回。


3.禁用系统安全中心、windows防火墙、系统还原。


4.设置HKLM\software\360safe\safemon子键下的


ExecAccess,SiteAccess,MonAccess,VDiskAccess,ARPAccess,IEProtAccess为0.


检测当前系统中是否有360tray.exe、360safe.exe,若有,结束进程、删除进程文件。


5.检测系统中是否有ravmond.exe、kwatch.exe、kasmain.exe。若有:


1)将进程资源RCDATA/"ANTIR"释放到%temp%\ANTIR.exe。


2)将进程资源RCDATA/"KNLPS"释放到%temp%\ANTIR.sys。


3)生成批处理脚本%temp%\tmp.bat,并使用WinExec("tmp.bat",SW_HIDE)执行脚本关闭安全软件的监控进程、删除自身的文件。


4)查询HKLM\SOFTWARE\rising\Rav\installpath键值,得到瑞星的安装路径。将进程资源RCDATA/"SYSFILE"的内容释放为与瑞星的文件同路径的文件,以替换瑞星的程序文件。


列表如下:


\Scanner.dll,\Update\Scanner.dll,\SmartUp.exe,\update\SmartUp.exe,


\RavMonD.exe,\Update\RavmonD.exe,


5)查询HKLM\SOFTWARE\Kingsoft\AntiVirus\ProgramPath键值,得到毒霸安装路径,替换


\update\bin\kpfwsvc.exe,\kpfwsvc.exe,\kasmain.exe,\update\bin\kasmain.exe,


\uplive.exe,\update\bin\uplive.exe,


\kwatch.exe,\update\bin\kwatch.exe,\kissvc.exe,\update\bin\kissvc.exe


6)替换safeboxTray.exe


7)创建启动项:


HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\Soundman


"C:\Progra~1\Realtek\APPath\RTHDCPL.exe"


6.检测是否存在avp.exe进程,若存在就将声卡静音,同时修改年份为2000年,令卡巴自动关闭。


7.建立映像劫持,此项可由配置信息控制,令很多安全软件不能运行。


8.若生成了NTDUBECT.exe,调用命令行"cmd /c del"删除之。

From: 李铁军 | 安全┊黑客资讯 | 评论(0) | 引用(0) | 阅读(179)
Tags: , , , ,
发表评论
昵称 [注册]
密码 游客无需密码
网址
电邮
打开HTML 打开UBB 打开表情 隐藏 记住我