微点交流论坛

标题: 遨游怎么会生成.exe的文件? [打印本页]

作者: ilovesos 时间: 2008-7-21 15:36 标题: 遨游怎么会生成.exe的文件?

我的遨游生成了一个叫 orz.exe 的文件这个文件会自动生成一个随机4位大写字母文件名的.exe文件并马上除自身 XXXX文件会像一个固定ip连接但微点没拦那个orz 只会问我是否拦截那个连出文件文件名老变我也没辙只能在orz文件夹下建了个只读orz 这才算完但其实治标不治本可能还有别的文件作怪
但我不清楚
有没有人遇到过类似情况?

作者: Legend 时间: 2008-7-21 16:02
请楼主将orz.exe文件和微点的技术支持信息（微点主界面-->辅助功能-->生成技术支持信息）发送到我们support@micropoint.com.cn 邮箱，随信请附带此贴链接。

作者: ilovesos 时间: 2008-7-21 16:25 标题: 不好意思

那个文件不知怎么就没了  我写的那个只读orz也没了呵呵
网上说是利用了flash漏洞
我去网上找了一下网上叙述如下
浏览器后台下载了一个文件C:\DOCUME~1\ADMINI~2.LEN\LOCALS~1\Temp\orz.exe

CreateRegValue—  \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{718d1d28-f905-4e5a-4e5a-0a16a6b12db4}\StubPath
CreateRegKey—-  \REGISTRY\MACHINE\Software\Microsoft\Active Setup\Installed Components\{718d1d28-f905-4e5a-4e5a-0a16a6b12db4}
创建了注册表键值
CreateFile— C:\WINDOWS\system32\egbwgyhdu\lsass.exe
CreateDir— C:\WINDOWS\system32\egbwgyhdu\
创建了一个lsass.exe（伪装成系统文件）

可能是已经解决了的问题吧  希望能得到答复

[ Last edited by ilovesos on 2008-7-21 at 16:28 ]

作者: Legend 时间: 2008-7-22 16:05
希望楼主找到样本后，及时给我们发送，我们好深入分析。

作者: threeswords 时间: 2008-7-23 22:42
ORZ病毒是利用FLASH漏洞进入你的系统
楼主尽快更新你的FLSAH player版本到9.0.124

微点对ORZ病毒能很好的防御，不知道楼主的微点在开始ORZ病毒运行的是否有提示？楼主可以在查询下日志看有没有相关记录，也隔离区里看看有没有相关的病毒文件

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn