Orz.exe病毒(NTDUBECT.exe,RTHDCPL.exe)查杀


IT资讯	系统天下	网盟学院


硬件DIY	软件下载	网络安全

您现在的位置： ChinaBeta.cn 中文IT资讯 >> 网络安全 >> HACK技术 >> HACK技术正文

Orz.exe病毒(NTDUBECT.exe,RTHDCPL.exe)查杀

Www.ChinaBeta.Cn 更新时间：2008-6-23

【ChinaBeta.Cn 网络安全】

Orz.exe病毒行为特征分析：
1.Orz.exe关闭毒霸、瑞星等安全软件的进程、并将安全软件的主要程序程序替换为无效的文件。
2.禁用系统安全中心、windows防火墙、系统还原。
3.结束360的进程、删除其进程文件。并修改360的设置，使360的保护失效。
4.释放木马下载者病毒。
5.删除病毒运行过程中生成的所有文件（不含释放的木马下载者）。注：此项可配置，若不设置，病毒会释放副本C:\Progra~1\Realtek\ APPath\RTHDCPL.exe，并为之创建启动项：HKLM\SoftWare\Microsoft\Windows\ CurrentVersion\Run\Soundman。

1.将本进程文件移动到同盘的根目录，且重命名为x:\NTDUBECT.exe
2.根据查找是否有avp.exe进程、是否可以修改系统时间来检测当前系统中是否有装有卡巴斯基，若有，程序返回。
3.禁用系统安全中心、windows防火墙、系统还原。
4.设置HKLM\software\360safe\safemon子键下的ExecAccess,SiteAccess,MonAccess,VDiskAccess,ARPAccess,IEProtAccess为0.
检测当前系统中是否有360tray.exe、360safe.exe，若有，结束进程、删除进程文件。
5.检测系统中是否有ravmond.exe、kwatch.exe、kasmain.exe。若有：
1)将进程资源RCDATA/"ANTIR"释放到%temp%\ANTIR.exe。
2)将进程资源RCDATA/"KNLPS"释放到%temp%\ANTIR.sys。
3)生成批处理脚本%temp%\tmp.bat，并使用WinExec("tmp.bat",SW_HIDE)执行脚本关闭安全软件的监控进程、删除自身的文件。
4)查询HKLM\SOFTWARE\rising\Rav\installpath键值，得到瑞星的安装路径。将进程资源RCDATA/"SYSFILE"的内容释放为与瑞星的文件同路径的文件，以替换瑞星的程序文件。
列表如下：
\Scanner.dll,\Update\Scanner.dll,\SmartUp.exe,\update\SmartUp.exe,\RavMonD.exe,\Update\RavmonD.exe,
5)查询HKLM\SOFTWARE\Kingsoft\AntiVirus\ProgramPath键值，得到毒霸安装路径，替换
\update\bin\kpfwsvc.exe,\kpfwsvc.exe,\kasmain.exe,\update\bin\kasmain.exe, \uplive.exe,\update\bin\uplive.exe， \kwatch.exe,\update\bin\kwatch.exe,\kissvc.exe,\update\bin\kissvc.exe
6)替换safeboxTray.exe
7)创建启动项:
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\Soundman "C:\Progra~1\Realtek\APPath\RTHDCPL.exe"

6.检测是否存在avp.exe进程，若存在就将声卡静音，同时修改年份为2000年，令卡巴自动关闭。

7.建立映像劫持，此项可由配置信息控制，令很多安全软件不能运行。

8.若生成了NTDUBECT.exe,调用命令行"cmd /c del"删除之。

三.该病毒生成的其它程序文件分析省略。

Orz.exe病毒分析完毕！有问题可以去专业的反病毒论坛提问求助