今天关注了下Google电脑病毒热搜榜，发现ORZ.EXE名列第八，反映出该病毒已经在最近数周的时间里产生了严重的影响。

　　AV终结者病毒在近一年左右的时间里，高居榜首，其实现在发现的很多木马病毒和最开始的AV终结者病毒并无渊源。但造成严重影响的这类病毒的现象大致都是一样的，直接破坏杀毒软件，令杀毒软件无法正常工作，具备这一类破坏现象的病毒均被计算机用户统称为”AV终结者“。

　　ORZ.EXE病毒，就是毒霸命名的FLASH特务，其现象和AV终结者类似，只是这种病毒并不直接完成其它木马的下载，表现为象个探子，入侵后，想办法把保安搞掉，然后再释放木马下载器，下载更多的病毒木马。该病毒的广泛浏览，与flash插件漏洞被公布利用密切相关。

　　ORZ是网络流行语，又被称作脑残文或火星文。囧rz “/口”失意体前屈，囧读作“炯”

　　失意体前屈，原本指的是网络上流行的表情符号：_|￣|○ 它看起来像是一个人跪倒在地上，低着头，一副“天啊，你为何这样对我”的动作。这个符号用在ORZ病毒的现象上，真是非常之形象。

　　例句;我买的球队又输了,真Orz!

　　以下是Flash特务病毒(ORZ.EXE病毒)分析报告，有关该病毒的具体现象和清除，请阅读此前发表过的另一文章：毒霸变灰的染毒实例及完整解决方案

　　Flash特务(Orz.exe病毒)分析报告

　　一.行为概述

　　1.关闭毒霸、瑞星等安全软件的进程、并将安全软件的主要程序程序替换为无效的文件。

　　2.禁用系统安全中心、windows防火墙、系统还原。

　　3.结束360的进程、删除其进程文件。并修改360的设置，使360的保护失效。

　　4.释放木马下载者病毒。

　　5.删除病毒运行过程中生成的所有文件(不含释放的木马下载者)。注：此项可配置，若不设置，病毒会释放副本C:Progra~1Realtek APPathRTHDCPL.exe，并为之创建启动项：

　　HKLMSoftWareMicrosoftWindows CurrentVersionRunSoundman。

　　二.Orz.exe

　　1.将本进程文件移动到同盘的根目录，且重命名为x:NTDUBECT.exe

　　2.根据查找是否有avp.exe进程、是否可以修改系统时间来检测当前系统中是否有装有卡巴斯基，若有，程序返回。

　　3.禁用系统安全中心、windows防火墙、系统还原。

　　4.设置HKLMsoftware360safesafemon子键下的

　　ExecAccess,SiteAccess,MonAccess,VDiskAccess,ARPAccess,IEProtAccess为0.

　　检测当前系统中是否有360tray.exe、360safe.exe，若有，结束进程、删除进程文件。

　　5.检测系统中是否有ravmond.exe、kwatch.exe、kasmain.exe。若有：

　　1)将进程资源RCDATA/"ANTIR"释放到%temp%ANTIR.exe。

　　2)将进程资源RCDATA/"KNLPS"释放到%temp%ANTIR.sys。

　　3)生成批处理脚本%temp% mp.bat，并使用WinExec("tmp.bat",SW_HIDE)执行脚本关闭安全软件的监控进程、删除自身的文件。

　　4)查询HKLMSOFTWARE isingRavinstallpath键值，得到瑞星的安装路径。将进程资源RCDATA/"SYSFILE"的内容释放为与瑞星的文件同路径的文件，以替换瑞星的程序文件。

　　列表如下：

　　Scanner.dll,UpdateScanner.dll,SmartUp.exe,updateSmartUp.exe,

　　RavMonD.exe,UpdateRavmonD.exe,

　　5)查询HKLMSOFTWAREKingsoftAntiVirusProgramPath键值，得到毒霸安装路径，替换

　　updateinkpfwsvc.exe,kpfwsvc.exe,kasmain.exe,updateinkasmain.exe,

　　uplive.exe,updateinuplive.exe，

　　kwatch.exe,updateinkwatch.exe,kissvc.exe,updateinkissvc.exe

　　6)替换safeboxTray.exe

　　7)创建启动项:

　　HKLMSoftWareMicrosoftWindowsCurrentVersionRunSoundman

　　"C:Progra~1RealtekAPPathRTHDCPL.exe"

　　6.检测是否存在avp.exe进程，若存在就将声卡静音，同时修改年份为2000年，令卡巴自动关闭。

　　7.建立映像劫持，此项可由配置信息控制，令很多安全软件不能运行。

　　8.若生成了NTDUBECT.exe,调用命令行"cmd /c del"删除之。