Virus/Win32.Parite.a分析

一、病毒标签：
病毒名称： Virus/Win32.Parite.a
病毒类型： 病毒
文件 MD5： BCEBC013C265A88697419DB082B72A60
公开范围： 完全公开
危害等级： 4
文件长度： 238,336 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0
       
二、病毒描述：
该病毒运行后复制自身到系统目录，且衍生病毒文件到%Temp%目录下。 修改注册表，添加启动项，以达到随机启动的目的。删除Symantec，瑞星，卡巴斯基等杀毒软件的注册表项和进程项，以对抗杀毒软件。将%Temp%目录下的动态链接库文件附加到explorer.exe进程中，以达到启动运行的目的。感染本地及共享网络上的exe及scr可执行文件。感染方式是在文件尾增加一个新的区块，将病毒代码写入该区块中，并保存原入口点后，更改入口点为病毒入口。
       
三、行为分析：
       
本地行为:
1、 文件运行后会衍生以下文件，其中%Temp%目录下生成的文件名可变：
%Temp%\spf13D.tmp
%Temp%\upf13E.tmp
%System32%\drivers\spoclsv.exe
%DriveLetter%\autorun.inf
%DriveLetter%\setup.exe

2、 新建注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]
注册表值："INF"
类型： REG_BINARY
值： " C:\DOCUME~1\ADMIN_~1\LOCALS~1\Temp\spf13D.tmp"
描述：随Explorer.exe启动而启动
               
3、 新建注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
注册表值："svcshare"
类型： REG_SZ
值： "C:\WINDOWS\system32\drivers\spoclsv.exe"
描述：添加启动项，以达到随机启动的目的

4、 新建注册表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
注册表值：" C:\WINDOWS\explorer.exe "
类型： REG_SZ
值： "C:\WINDOWS\explorer.exe:*isabled:Windows Explorer"
描述：添加防火墙规则到Windows Firewall授权软件列表，穿透防火墙不受阻挡

5、修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue]
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
描述：使隐藏文件不可见
               
6、 删除注册表键值
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
描述：删除监视系统安全设置和配置服务项

7、删除Symantec，瑞星，卡巴斯基等杀毒软件的注册表启动键值并关闭其相关进程。

        
8、spf13D.tmp随explorer.exe进程的启动而启动，并且驻留内存。
        
9、在文件尾增加一个新节，将病毒写入，并同时更改节数量，入口点，映像大小等信息。

       
网络行为:
       
1、连接网络下载病毒列表并下载其它病毒：http://www.a***.cn/88/down/up.txt。
       
       
注释：
%Windir%                                           WINDODWS所在目录
%DriveLetter%                                逻辑驱动器根目录
%ProgramFiles%                                系统程序默认安装目录
%HomeDrive%                                  当前启动系统所在分区
%Documents and Settings%        当前用户文档根目录
%Temp%                                                当前用户TEMP缓存变量；路径为：
%Documents and Settings%\当前用户\Local Settings\Temp
%System32%                                        是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是　C:\Winnt\System32；
Windows95/98/Me中默认的安装路径是　C:\Windows\System；
WindowsXP中默认的安装路径是　C:\Windows\System32。
       
       
四、 清除方案：
1、使用安天防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
关闭进程：%System32%\drivers\spoclsv.exe
结束模块：%Temp%\spf13D.tmp
(2) 强行删除病毒文件
%Temp%\spf13D.tmp
%Temp%\upf13E.tmp
%System32%\drivers\spoclsv.exe
%DriveLetter%\autorun.inf
%DriveLetter%\setup.exe
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
a、删除注册表：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]
注册表值："INF"
类型： REG_BINARY
值： " C:\DOCUME~1\ADMIN_~1\LOCALS~1\Temp\spf13D.tmp"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
注册表值："svcshare"
类型： REG_SZ
值： "C:\WINDOWS\system32\drivers\spoclsv.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
注册表值：" C:\WINDOWS\explorer.exe "
类型： REG_SZ
值： "C:\WINDOWS\explorer.exe:*isabled:Windows Explorer"
b、修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue]
DWORD: 1 (0x1)
c、添加监视系统安全设置和配置服务的注册表项wscsvc