ORZ.EXE病毒(金山毒霸叫"FLASH特务")，其现象和AV终结者类似，只是这种病毒并不直接完成其它木马的下载，表现为象个探子，入侵后，想办法把保安搞掉，然后再释放木马下载器，ORZ.EXE下载更多的病毒木马。该ORZ.EXE病毒多利用flash插件漏洞进行破坏

以下是ORZ.EXE病毒原因特点

一 .将本进程文件移动到同盘的根目录，且重命名为x:\NTDUBECT.exe

二 . 根据查找是否有avp.exe进程、是否可以修改系统时间来检测当前系统中是否有装有卡巴斯基，若有，程序返回。

三.禁用系统安全中心、windows防火墙、系统还原。

四.设置HKLM\software\360safe\safemon子键下的

ExecAccess,SiteAccess,MonAccess,VDiskAccess,ARPAccess,IEProtAccess为0.

检测当前系统中是否有360tray.exe、360safe.exe，若有，结束进程、删除进程文件。

五.检测系统中是否有ravmond.exe、kwatch.exe、kasmain.exe。若有：

1)将进程资源RCDATA/"ANTIR"释放到%temp%\ANTIR.exe。

2)将进程资源RCDATA/"KNLPS"释放到%temp%\ANTIR.sys。

3)生成批处理脚本%temp%\tmp.bat，并使用WinExec("tmp.bat",SW_HIDE)执行脚本关闭安全软件的监控进程、删除自身的文件。

[1] [2] 下一页