解決 病毒Parite.B | 分析 Parite.B 病毒威脅

Forum rules
關於電腦的常識 ,毒蟲 ,木馬 駭碼....等

thường thức vi tính ,virus ,trojan ,hijack...

解決 病毒Parite.B | 分析 Parite.B 病毒威脅

Postby userl » July 15, 2013

類型Win32多態性fileinfector的病毒
影響到的系統:win95,win98,winME,winNT,Windows 2000中,Windows XP中
威脅度: 高
殺軟有效: http://www.qunlin.net/forum/viewtopic.php?f=22&t=112

執行後,病毒Parite.B將保留在內存中,並感染每一個SCR和PE文件在每個驅動器和網絡共享

這種寄生駐留內存的病毒
相同Win32.Parite.a。它不同於Parite.a 是還在系統註冊表中創建:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF]

感染病毒後到主機文件,其中包含的主要病毒代碼以加密的形式增加了一個新節(這部分是隨機命名的3個字母,然後由ASC-II字符07)。後來放了個文件是一個隨機命名的臨時文件到TEMP文件夾,使用windows API函數獲取這個路徑。

被注入到Windows資源管理器的臨時文件(約172KB大小)。這意味著,如果資源管理器運行時,該病毒在內存中保持活躍。

病毒需要從受感染的文件FileHeader裡的原始入口點(OEP),舊的入口點加密與一個隨機生成的32位值,這個計算的入口值存儲在加密的文件的最後一節,病毒寫入本身。

它需要原始入口點執行受感染文件後的病毒代碼被執行。
注:在下面的文字,%WINDIR%表示Windows目錄(如C:\ WINDOWS),%%表示Windows系統目錄(如C:\ WINDOWS \ SYSTEM32),根據不同的各種版本的Microsoft Windows。

Parite使用2個不同的,隨機生成的,32位的值,
在2個隨機地址在原來的主機文件,並覆蓋這些文件的地址,如果不運行。
如果受感染的文件被激活時,病毒恢復此數據,滿分為程序代碼的加密部分。這是一個特殊的機制,使受感染的文件清潔更加困難。
病毒枚舉並掃描所有網絡共享,並試圖感染所有的Windows32可執行的和屏幕保護程序文件。
昔年虎嘯千山壯
今日龍騰四海春


在下載任何 Playstation 遊戲前時 ,請先下載模擬器
playstation 下載討論説明指南 詳細



Trước khi tải về bất kỳ game Playstation nào , bạn cần tải về giả lập Playstation trước
Xem hướng dẫn tải game để tải game tốt hơn tại
User avatar
userl
3星級 3cấp sao
3星級 3cấp sao
 
Posts: 73
Joined: May 24, 2009
Thanks: 12
Thanked: 4 times in 2 posts
Reputation point: 18

Return to 電腦常識 Thường thức vi tính

Who is online

Users browsing this forum: No registered users and 13 guests

cron