flyleaf 发表于 2009-2-2 13:35

Virus/Win32.Parite.a分析

一、病毒标签:
病毒名称: Virus/Win32.Parite.a
病毒类型: 病毒
文件 MD5: BCEBC013C265A88697419DB082B72A60
公开范围: 完全公开
危害等级: 4
文件长度: 238,336 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
       
二、病毒描述:
该病毒运行后复制自身到系统目录,且衍生病毒文件到%Temp%目录下。 修改注册表,添加启动项,以达到随机启动的目的。删除Symantec,瑞星,卡巴斯基等杀毒软件的注册表项和进程项,以对抗杀毒软件。将%Temp%目录下的动态链接库文件附加到explorer.exe进程中,以达到启动运行的目的。感染本地及共享网络上的exe及scr可执行文件。感染方式是在文件尾增加一个新的区块,将病毒代码写入该区块中,并保存原入口点后,更改入口点为病毒入口。
       
三、行为分析:
       
本地行为:
1、 文件运行后会衍生以下文件,其中%Temp%目录下生成的文件名可变:
%Temp%\spf13D.tmp
%Temp%\upf13E.tmp
%System32%\drivers\spoclsv.exe
%DriveLetter%\autorun.inf
%DriveLetter%\setup.exe

2、 新建注册表

注册表值:"PINF"
类型: REG_BINARY
值: " C:\DOCUME~1\ADMIN_~1\LOCALS~1\Temp\spf13D.tmp"
描述:随Explorer.exe启动而启动
               
3、 新建注册表

注册表值:"svcshare"
类型: REG_SZ
值: "C:\WINDOWS\system32\drivers\spoclsv.exe"
描述:添加启动项,以达到随机启动的目的

4、 新建注册表

注册表值:" C:\WINDOWS\explorer.exe "
类型: REG_SZ
值: "C:\WINDOWS\explorer.exe:*:Disabled:Windows Explorer"
描述:添加防火墙规则到Windows Firewall授权软件列表,穿透防火墙不受阻挡

5、修改注册表

新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
描述:使隐藏文件不可见
               
6、 删除注册表键值

描述:删除监视系统安全设置和配置服务项

7、删除Symantec,瑞星,卡巴斯基等杀毒软件的注册表启动键值并关闭其相关进程。

      
8、spf13D.tmp随explorer.exe进程的启动而启动,并且驻留内存。
      
9、在文件尾增加一个新节,将病毒写入,并同时更改节数量,入口点,映像大小等信息。

       
网络行为:
       
1、连接网络下载病毒列表并下载其它病毒:http://www.a***.cn/88/down/up.txt。
       
       
注释:
%Windir%                                           WINDODWS所在目录
%DriveLetter%                                逻辑驱动器根目录
%ProgramFiles%                                系统程序默认安装目录
%HomeDrive%                                当前启动系统所在分区
%Documents and Settings%        当前用户文档根目录
%Temp%                                                当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32%                                        是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;
WindowsXP中默认的安装路径是 C:\Windows\System32。
       
       
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
关闭进程:%System32%\drivers\spoclsv.exe
结束模块:%Temp%\spf13D.tmp
(2) 强行删除病毒文件
%Temp%\spf13D.tmp
%Temp%\upf13E.tmp
%System32%\drivers\spoclsv.exe
%DriveLetter%\autorun.inf
%DriveLetter%\setup.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
a、删除注册表:

注册表值:"PINF"
类型: REG_BINARY
值: " C:\DOCUME~1\ADMIN_~1\LOCALS~1\Temp\spf13D.tmp"

注册表值:"svcshare"
类型: REG_SZ
值: "C:\WINDOWS\system32\drivers\spoclsv.exe"

注册表值:" C:\WINDOWS\explorer.exe "
类型: REG_SZ
值: "C:\WINDOWS\explorer.exe:*:Disabled:Windows Explorer"
b、修改注册表

DWORD: 1 (0x1)
c、添加监视系统安全设置和配置服务的注册表项wscsvc
页: [1]
查看完整版本: Virus/Win32.Parite.a分析