回复:近期所有杀毒软件异常的看看。
Orz.exe只是利用flash漏洞的网马把病毒下载到临时文件夹时保存的名字(详见我的分析
http://bbs.ikaka.com/showtopic-8510447.aspx),由于网马是有生成器的,用生成器生成的结果,能改变的只是下载的病毒URL链接,而不会改变在本机保存的文件名(除非自己调试并修改shellcode的汇编代码)。
因此,同是orz.exe,具体的病毒行为很可能千差万别。因此铁军用orz.exe这个名字来概括,很容易引起求助者的误解。
防范flash网马,首要的还是要更新flashplayer插件到最新。
如果病毒只是用简单的释放资源的方法来替换文件,只要有瑞星的自我保护,文件应该不至于被替换(前提是病毒动作的时候,瑞星还活着),IFEO项目也不至于产生。当然,如果病毒使用机器狗的方法,在驱动层发IRP来操作文件,类似于IceSword的方式,那又另当别论。
铁军贴出的分析中所述的很多行为,其实严格意义上讲应该加上“尝试”二字,因为有这样的企图并不等于就会成功,原文容易让人认为其行为全部会成功。
另外,有这样一个病毒,并不等于求助者所中的都是这样一个病毒,就像有熊猫烧香不等于所有人都感染上一样,所以我认为不能对所有求助帖子一概要求卸载重装杀毒软件,仍然应该依照实际情况,具体问题具体分析。
