orz.exe 病蟲

基本相關資料 名稱 Downloader.Swif.C 公佈日期 2008/5/27 風險級數 型態 病蟲 可攔阻的病毒定義檔 Intelligent Updater: 05/27/2008 rev. 3 XDB: vd297603.xdb X86: 20080527-003-x86.exe MD5檢測碼 XDB: 904025FA 42F 42C9D6D4BDF9ECDC7E11B X86: BB 04C 7194C 71A9B5253B060E4198EEC3 受影響的作業系統 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP 傳播路徑 Adobe Flash Player SWF 狀況說明 Downloader.Swif.C是一種透過Adobe Flash Player SWF檔案執行非指定遠端控制代碼弱點(BID 29386)攻擊的威脅並且下載更多的惡意軟體至受感染電腦的特洛依木馬程式。 使用Flash Player時，病蟲會將使用者導向至下列帶有惡意的SWF檔案連結： [http://]www.play0nlnie.com/pcd/topics/ff11us/ 20080311cPx131/[FLASH VERSION ST[REMOVED] Note：上敘網址會被使用在包含下列字串的瀏覽器： ie (in the case of Internet Explorer) ff (in the case of Firefox) 使用Flash Player時，SWF檔案透過Adobe Flash Player SWF檔案執行非指定遠端控制代碼弱點(BID 29386)攻擊。 接下來，病蟲會從下列網址下載有惡意的檔案： [http://]www.play0nlnie.com/ax.[REMOVED] 下載的檔案會複製特洛依木馬程式，另存為下列檔名並且執行： %Temp%\orz.exe 移除方式 1. 關閉「系統還原」(Windows Me/XP)。 2. 更新病毒定義檔。 3. 執行完整的系統掃描。 關於這些步驟的詳細資訊，請閱讀下列指示： 1. 關閉「系統還原」(Windows Me/XP)。 如果你使用的是Windows Me或Windows XP，我們建議你暫時關閉系統還原。Me或XP預設是打開這項功能的，回復這些檔案可能造成她們的損壞。如果是病毒，蠕蟲，或木馬感染了電腦，系統還原有可能備份這些檔案。 Windows預防外來的程式，包括防毒軟體修改系統還原。因此防毒軟體或工具無法移除系統還原資料夾裡面的威脅。因此即使你在其他的地方刪除了有感染的檔案，系統還原還是有可能存有受感染的檔案。 此外，病毒掃描可能會偵測到威脅在系統還原的資料夾即使你早就宜除了威脅。 至於如何關閉作業系統上的系統還原功能可閱讀本機的Windows說明文件或參照下列鏈結裡的說明: l          "如何開啟或關閉Windows ME的系統還原功能"(英文) l          "如何開啟或關閉WindowsXP上的系統還原功能"(英文) 注意：如果你完成了移除威脅的程序，請重起系統還原。 如果想要獲得額外的資訊，和另一種關閉Windows Me的系統還原，你可以查閱微軟知識庫的文章：Antivirus Tools Cannot Clean Infected Files in the _Restore Folder (Article ID: Q263455).  2. 更新病毒定義檔 Symantec Security Response對於所有在網站上公佈的病毒定義檔都有做完整的測試。有兩種方式可以獲得病毒定義檔。 l          執行LiveUpdate，這是一個較容易的方法取得病毒定義檔。 l          如果你使用Norton AntiVirus 2006，Symantec AntiVirus Corporate Edition 10.0，或更新的產品，LiveUpdate將會是每日更新。這些產品擁有更新的技術。 l          如果你使用Norton AntiVirus 2005，Symantec AntiVirus Corporate Edition 9.0，或較早的產品，LiveUpdate將會是每週更新。major outbreaks是例外，他會更新的稍微頻繁一點。 l          藉由Intelligent Updater下載定義：Intelligent Updater病毒定義是每日更新。你應該從Symantec Security Response網站下載定義並手動更新它們。Intelligent Updater提供了這些威脅的定義，在Virus Definitions (Intelligent Updater)。 最新的Intelligent Updater virus definitions可以在這裡找到：Intelligent Updater virus definitions。想要知道詳細的資料可以閱讀下列文件：How to update virus definition files using the Intelligent Updater。 3. 執行完整的系統掃描。 a. 執行您的Symantec antivirus並確定其設定為掃描所有的檔案。 l          Norton AntiVirus consumer products:請閱讀下列文件：How to configure Norton AntiVirus to scan all files l          Symantec AntiVirus Enterprise products: 請閱讀下列文件：How to verify that a Symantec Corporate antivirus product is set to scan all files b. 執行全系統掃瞄。 c. 如果有發現任何檔案，用您的防毒軟體執行下列動作。 重要：如果您的軟體無法刪除檔案，你可以試著進入安全模式去停止風險檔案。讀下列文件了解詳細：How to start the computer in Safe Mode。依但您進入安全模式，試著重新掃描一次。 刪除檔案後，在普通模式重起電腦並執行下一段的動作。 如果威脅並未完全地移除，電腦重起後可能會有警告訊息。你可以忽略訊息並按確定。這些訊息當你完全執行所有的一除病毒動作將部會再出現。訊息可能如下： Title: [FILE PATH] Message body: Windows cannot find [FILE NAME]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search. 相關參考資料 Symantec原廠技術文件：http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-052714-3021-99&tabid=1