卡卡网上网安全助手软件 瑞星知道 文件诊所 安全论坛 瑞星网
1   1  /  1  页   跳转

WIN32.PARITE病毒分析

收藏
本主题由 大版主 hotboy 于 2008-7-22 21:27:14 执行 移动主题 操作
天云一剑
头像
论坛实习生
  • 帖子:974
  • 注册: 2008-07-06
  • 来自:死扛病毒
发表于: 2008-07-20 15:06 | 只看楼主 短消息 资料
字号: 1楼

WIN32.PARITE病毒分析

其实这个病毒也很老了,无服务无驱动,只是不大好彻底清除
(学生在清除病毒时,发现JDK目录和MSOcache目录无法使用专杀清理,费解ING。。。。)
首先使用PEID检查病毒感染文件,发现多了一个节,节名随机器生成,这部分是病毒INJECT的
打开OD,看了看,病毒调用的API
包括:GetMouduleFileNameA
RegOpenkeyExA
RegQueryValueExA
CreatFileA,ReadFile
WriteFile
GetTempFileName
这样我们大概知道病毒会做些什么:打开修改注册表,创建文件,读取文件,写文件

病毒访问注册表中的:
HKEY_CURRENT_USER\Softare\Microsoft\Windows\CurrentVersion\Explorer-PINF
这里存放的是病毒导出的DLL(型如一个CLASS ID,如: {1C954872-1230-6541-9548-6541025884C1}
如果此键值存在,就加载调用DLL中的函数,如果不存在,就新建键值和文件

从感染的文件末尾每次读入10240(0x2800)字节,然后解码写入创建的临时文件,病毒写入的TMP文件实际上就是一个DLL(动态链接库)文件
然后加载DLL文件,调用DLL中的函数,用来实现感染文件
感染的过程就是给文件增加一个节,然后写入编码后的病毒代码,再把DLL编码写入被感染文件末尾

如此这般,子子孙孙无穷匮也。。。。
感染了此病毒,在它还没完全攻占你的硬盘前,使用专杀吧

就算完全感染了,请参考下面的帖子来处理:
http://bbs.ikaka.com/showtopic-8525434.aspx
学生还有一点不太明白,就是为什么查看文件修改日期发现不了任何被感染的痕迹呢?只有被替换才能发现吗?


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; TheWorld)
安全软件和sreng工具被关闭并删除的进
彻底免疫AUTORUN教程
gototop
 
li8heng8qi
头像
初生襁褓狮
  • 帖子:27
  • 注册: 2008-07-21
  • 来自:
发表于: 2008-07-22 13:39 | 短消息 资料
字号: 2楼

回复:WIN32.PARITE病毒分析

据我猜测应该是在系统基层更改的吧!
gototop
 
天云一剑
头像
论坛实习生
  • 帖子:974
  • 注册: 2008-07-06
  • 来自:死扛病毒
发表于: 2008-07-22 17:34 | 只看楼主 短消息 资料
字号: 3楼

回复:WIN32.PARITE病毒分析

恩,找了下资料,发现这些时间都是可以更改的
现在的疑问是,被填入病毒后,文件散列会变化吗
安全软件和sreng工具被关闭并删除的进
彻底免疫AUTORUN教程
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT