发表于: 2008-07-20 15:06 | 显示全部 短消息 资料
字号: 1楼

WIN32.PARITE病毒分析

其实这个病毒也很老了,无服务无驱动,只是不大好彻底清除
(学生在清除病毒时,发现JDK目录和MSOcache目录无法使用专杀清理,费解ING。。。。)
首先使用PEID检查病毒感染文件,发现多了一个节,节名随机器生成,这部分是病毒INJECT的
打开OD,看了看,病毒调用的API
包括:GetMouduleFileNameA
RegOpenkeyExA
RegQueryValueExA
CreatFileA,ReadFile
WriteFile
GetTempFileName
这样我们大概知道病毒会做些什么:打开修改注册表,创建文件,读取文件,写文件

病毒访问注册表中的:
HKEY_CURRENT_USER\Softare\Microsoft\Windows\CurrentVersion\Explorer-PINF
这里存放的是病毒导出的DLL(型如一个CLASS ID,如: {1C954872-1230-6541-9548-6541025884C1}
如果此键值存在,就加载调用DLL中的函数,如果不存在,就新建键值和文件

从感染的文件末尾每次读入10240(0x2800)字节,然后解码写入创建的临时文件,病毒写入的TMP文件实际上就是一个DLL(动态链接库)文件
然后加载DLL文件,调用DLL中的函数,用来实现感染文件
感染的过程就是给文件增加一个节,然后写入编码后的病毒代码,再把DLL编码写入被感染文件末尾

如此这般,子子孙孙无穷匮也。。。。
感染了此病毒,在它还没完全攻占你的硬盘前,使用专杀吧

就算完全感染了,请参考下面的帖子来处理:
http://bbs.ikaka.com/showtopic-8525434.aspx
学生还有一点不太明白,就是为什么查看文件修改日期发现不了任何被感染的痕迹呢?只有被替换才能发现吗?


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; TheWorld)
汰丸,你妈妈六十大寿让你回家吃饭

http://hi.baidu.com/roxiel