微点交流论坛 - 反病毒 - 遨游怎么会生成.exe的文件?

微点交流论坛 » 反病毒 » 遨游怎么会生成.exe的文件?

ilovesos
新手上路

积分 14
发帖 14
注册 2008-7-7

#1 遨游怎么会生成.exe的文件?

我的遨游生成了一个叫 orz.exe 的文件这个文件会自动生成一个随机4位大写字母文件名的.exe文件并马上除自身 XXXX文件会像一个固定ip连接但微点没拦那个orz 只会问我是否拦截那个连出文件文件名老变我也没辙只能在orz文件夹下建了个只读orz 这才算完但其实治标不治本可能还有别的文件作怪
但我不清楚
有没有人遇到过类似情况?

※ ※ ※ 本文纯属【ilovesos】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-7-21 15:36

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#2

请楼主将orz.exe文件和微点的技术支持信息（微点主界面-->辅助功能-->生成技术支持信息）发送到我们support@micropoint.com.cn 邮箱，随信请附带此贴链接。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2008-7-21 16:02

ilovesos
新手上路

积分 14
发帖 14
注册 2008-7-7

#3 不好意思

那个文件不知怎么就没了  我写的那个只读orz也没了呵呵
网上说是利用了flash漏洞
我去网上找了一下网上叙述如下
浏览器后台下载了一个文件C:\DOCUME~1\ADMINI~2.LEN\LOCALS~1\Temp\orz.exe

CreateRegValue—  \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{718d1d28-f905-4e5a-4e5a-0a16a6b12db4}\StubPath
CreateRegKey—-  \REGISTRY\MACHINE\Software\Microsoft\Active Setup\Installed Components\{718d1d28-f905-4e5a-4e5a-0a16a6b12db4}
创建了注册表键值
CreateFile— C:\WINDOWS\system32\egbwgyhdu\lsass.exe
CreateDir— C:\WINDOWS\system32\egbwgyhdu\
创建了一个lsass.exe（伪装成系统文件）

可能是已经解决了的问题吧  希望能得到答复

[ Last edited by ilovesos on 2008-7-21 at 16:28 ]

※ ※ ※ 本文纯属【ilovesos】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-7-21 16:25

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#4

希望楼主找到样本后，及时给我们发送，我们好深入分析。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2008-7-22 16:05

threeswords
中级用户

积分 400
发帖 387
注册 2008-3-25

#5

ORZ病毒是利用FLASH漏洞进入你的系统
楼主尽快更新你的FLSAH player版本到9.0.124

微点对ORZ病毒能很好的防御，不知道楼主的微点在开始ORZ病毒运行的是否有提示？楼主可以在查询下日志看有没有相关记录，也隔离区里看看有没有相关的病毒文件

※ ※ ※ 本文纯属【threeswords】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-7-23 22:42

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号