[讨论]关于Win32/Parite.a病毒的技术讨论
议题提交:Kernet信息来源:邪恶八进制信息安全团队
前段时间不小心中了Win32/Parite.a这个病毒,上网Google了一下它的资料:
Win32/Parite.a的病毒程序用C++编写,组成的组件是由汇编程序编写的,感染的文件运行后,直接控制病毒生成文件使其将病毒文件写为临时文件并执行它的感染程序,并在逻辑硬盘和局域网里的共享目录里搜索所有。scr和。exe类型的Win32 PE格式文件进行感染。运行时,病毒会附加在Explorer.exe文件上驻留内存.
这个病毒现在流行的杀毒软件都能杀,而且还有专杀工具可以下载,我用的是卡巴斯基.发现病毒并且清除了病毒,但是可恶的是卡巴把正常的.exe文件和.scr文件也当成病毒给清除了.因为所有的.exe文件都被感染了.这个病毒杀是很简单,但是大部分的.exe已经被感染了,杀毒软件会自动清除的.这个病毒是怎样感染.exe文件的呢?写入病毒本身代码吗.那么既然.exe文件被写入了病毒代码,并且会被杀毒软件查杀,那么怎样恢复呢,只能删除该.exe文件吗?大家谈下看法. 两个星期前,偶的爱机也中了此毒!
所有被感染的EXE文件全都完了!专杀工具偶没有找到!
被病毒感染的文件应该是不能恢复的,反正俺是重新装的! 虽然没有附带自己的研究过程 但是勉强通过 是因为比较典型
下次一定要附带自己更详细的研究过程:)
最好能提供病毒体 *** 作者被禁止或删除 内容自动屏蔽 *** 我记得前几天我也中了个病毒
在瑞星病毒库里找不到,但是可以杀掉,病毒的名字叫白雪公主吧
可以改变文件的大小,我当时不敢杀,就怕杀了以后造成损失,因为病毒涉及的面比较广
为此还特意去请教冰雪了的. 这个病毒意见碰到过,是文件型的..
以前看了一下好象是添加一段程序并且添加一个PE字段...
由于是感染文件,所以碰到现在大多数的杀毒程序都是只杀程序不杀病毒...所以好象也没什么办法,除非有专杀的工具 我的原则是 不该装的软件不装 不好玩的游戏不玩 外挂除非经过测试的不用
不用的端口全部禁掉
这样病毒什么的就不会欺负我了 好象大家都中过似的
呵呵
exploit 重装是8行D 除非你刚中了就已经发现了
因为它会感染所有的EXE文件 表告诉我说
你除了系统盘有EXE以外,其他盘都没有 被感染以后 只要运行EXE 就会再次进行传染
其他的几个杀毒偶不清楚(偶不喜欢使用杀毒),但是知道 ”喀吧鸡死“ 它的确是可以杀的,只是当时你开机已经运行了 explorer.exe 所以这个还是没有杀全的
PS:说不定它也会被感染了呢 :)
除了使用 Spant.exe 以外(这个可以说是专杀了,并且大多数EXE文件不会被破坏,我说大多数是因为的确有被破坏的,不过少数情况) 我另外提供一种方法 只供参考
可以使用 趋势的在线杀毒 [url]http://www.trendmicro.com.cn/housecall/start_corp.asp[/url]
注意方法哦,其他不用说,确认了什么的 只是最后一步,会弹出一个杀毒的新窗口(运行程序),开始检测并杀毒,在它弹出来的时候,迅速调出 任务管理器,结束 explorer .exe进程(因为它也被感染了) ,这个时间很短,但完全是可以成功的,因为开始我不知道 spant.exe 可以杀的时候
就这么解决的
其实简单的话,还是使用 spant.exe 好,虽然个别文件会被 搞坏 。(我这里只有几个 EXE的动画被破坏了,其他运行程序没问题)
OVER 呵呵 烂吧 稍微补充点这个病毒的相关 我所知资料 看来最近冰血对病毒 具有研究态度 上瘾了 呵呵
开始中这病毒的时候,在搜索里找不到资料 于是跑去国外了,(其实算俺衰,看的差不多的时候,忽然就发现了中文资料 ,真是浪费脑细胞 )
通过局域网传播该病毒,感染所有 exe 和 SCR文件 在临时文件里释放DLL文件,文件名随机产生,具体忘记了,大概是说 随机产生的名字有规律可寻 字母+16进制数字 (字母几位数字几位忘记了)
好多所谓的专杀或者可以杀的 都会杀不干净 或者毁坏其他正常文件 代价太大了
哦, 另外,它会在 注册表 Explorer 键下 (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer )下生成PINF 键值 这个是我当时鉴别的主要方式 冰血快点在自己机器上运行一下吧 呵呵
再补充,从名字上看,应该是有变种的 Win32/Parite.a Win32/Parite.b zhcin
因多次参与技术讨论 所以开通VIP:)希望以后多多指导和参与我们的讨论... 灌水原来有这好处呀 那以后要多多“灌”了 呵呵
刚去发那个搞笑帖,忽然发现 级别变了 于是翻下 居然在这里
当庆祝偶 论坛注册成功 5个月整吧
顺便告诉冰血如何拿到这病毒
其实再简单不过了 , 因为那天忽然发现偶英文系统下
任务管理器里忽然多了 ~+字母+数字.tmp 的进程(类似与~DFD738.tmp)
真是把我给晕一下 居然会有这种进程 但是把这些单独拿出去是不会运行的了
于是想想它是如何生成的(废话,当然病毒生成的了)
那 只要让楼主 或者 exploit 把他盘里 的一个exe文件发给冰血 而冰血运行就可以了
只消 一天 就有效果 嘿嘿 系统盘,其他盘根目录.KV可杀带CRC的文件报废 不,我在1个月前中过,我当时用瑞星杀,他会清除病毒,不会删除文件 要分析的人注意了,这个病毒是加密的 各位 想清楚的话 我推荐一个专杀
北信源的专杀
[url]http://www.vrv.com.cn/tools/killparite.com[/url]
可以试验下
相当好用! 终于找到一位仁兄写的很详细的解决方法,给中此毒的朋友们一点帮助
下面是原文 作者:kellysky
杀除win32.parite.a病毒- -
无奈,刚刚开学就发现计算机中病毒了,郁闷得很。win32.parite.a这家伙我对他都无奈了!偶重装系统N次了也
不管用,格式化硬盘又不舍得那些好东东。没办法到网上猛搜,说实话实在受不了瑞星的文件监控,整天
报警,关了又觉得不保险,不过还是关了,呵呵,毕竟有一些黑软都不同程度的带一些病毒,或者是不是
病毒的病毒,比如注册机,今天无聊决定对付一下win32.parite.a这块难啃的骨头,用瑞星和卡巴斯基扫
到我电脑竟然有N多这种病毒,也是在我意料之中,不过这种病毒很难杀,用卡巴斯基和瑞星以及江民都
无法彻底杀掉,都是EXE文件。最后有消息框"病毒已经被清除,剩下的一个在重起后就会被删除
重启后又死灰复燃。在瑞星网站,瑞星专家说是升级到最新,然后制作一个杀毒A盘在DOS环境下杀,呵呵
,结果还是老样子。
我记得网上有种方法是
1.将d:\\system\\windows目录下的所有exe文件不包括(flcess.exe 和sysexplorer.exe)
设为读取,将d:\\bar目录下的exe文件设为读取;
2.将e:\\profiles目录下的历史记录目录设为读取;
3.禁用文件系统对象FileSystemObject
方法:直接查找scrrun.dll文件删除或者改名。
4. 加入注册表,禁止下载IE相关控件(ActiveX),可以将此文件拷入d:\\system\\newreg目录下,然后选
择通知工作站升级;
注册表如下:
REGEDIT4
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX
Compatibility\\{B83FC273-3522-4CC6-92EC-75CC86678DA4}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX
Compatibility\\{9A578C98-3C2F-4630-890B-FC04196EF420}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX
Compatibility\\{CF051549-EDE1-40F5-B440-BCD646CF2C25}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX
Compatibility\\{4EDBBAEA-F509-49F6-94D1-ECEC4BE5B686}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX
Compatibility\\{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX
Compatibility\\{9BBC1154-218D-453C-97F6-A06582224D81}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX
Compatibility\\{00000566-0000-0010-8000-00AA006D2EA4}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX
Compatibility\\{4B106874-DD36-11D0-8B44-00A024DD9EFF}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX
Compatibility\\{6E449683_C509_11CF_AAFA_00AA00B6015C}]
"Compatibility Flags"=dword:00000400
注意:强制禁止下载.把存放IE临时文件的文件夹设置为读取权限。(这样可能有些语聊的网站,需要下载
语聊插件的不能正常使用了)
5.在服务器安装防火墙;
以下为变态方法,作为杀毒方法的后续,如果想要安全可以加入:
6.专杀工具spant,可以加到启动组中,工作站启动随时可以杀病毒;
7.将所有文件设为只读(不包括网络游戏的EXE文件);
8.删除IE浏览器,暂时避过WIN32病毒风头
有朋友用过这种方法,觉得不错,上面提到专杀工具spant。我觉得还可以。
从网上下载了流行病毒查杀工具spant.然后一个盘复制一个spant.我是四个盘.
因为win32.parite.a这种病毒是感染EXE文件,下载后没毒的文件,只要你运行了,在去查就会提示有毒.我
们执行了spant后,关闭了,就算杀了毒,这个文件在没杀之前已经感染.
所以在C盘放一个,杀后,删除此spant,在用另一个去杀.
重启,F8进入安全模式.然后就是漫长的杀毒.虽然漫长但是我忍了,真希望这次能彻底删除,还不错,终
于OK了。不过发现一些软件不能用了,就当捡了西瓜丢了芝麻好了,具体什么原因导致软件不能运行,我
也不想追查了,重新解压缩一遍好了。
Spant杀毒工具还不错,可以杀
Trojan.Bboy
Trojan.Bboy.dll
Trojan.CodeRed2
Trojan.NewSuper
Trojan.NewSuper.dll
Trojan.NewSuper.inf
Trojan.NewSuper.maker
Trojan.PopWeb.hao
Trojan.PopWeb.mail263
Trojan.QQSender.52mm
Trojan.QQSender.dj3344
Trojan.QQSender.hao114
Trojan.QQSender.hao3344
Trojan.QQSender.jinboy
Trojan.QQSender.ktv530
Trojan.QQSender.mmm110
Trojan.QQSender.mmqm
Trojan.QQSender.nicex
Trojan.QQSender.qq3344
Trojan.QQSender.qq886
Trojan.QQSender.yy518
Trojan.StarPage
Win32.Funlove.4070
Win32.Founlove.4608
Win32.Parite.176128
Win32.Parite.a
Win32.Parite.b
Win32.Xorala.2048
Win95.CIH.1003
Win95.CIH.1010
Win95.CIH.1019
Win95.CIH.1024
Win95.CIH.1026
Win95.CIH.1040
Win95.CIH.1042
Win95.CIH.1230
Win95.CIH.1262
Win95.CIH.1363
Win95.CIH.876
Win95.CIH.973
Worm.KillMsBlast
Worm.Klez.h
Worm.Lentin.m
Worm.LovGate.c
Worm.LovGate.dll
Worm.LovGate.e
Worm.LovGate.f
Worm.LovGate.h
Worm.LovGate.h.49152
Worm.LovGate.i
Worm.LovGate.i.49152
Worm.LovGate.j
Worm.LovGate.k
Worm.Mimail
Worm.MsBlast
Worm.Nimda
Worm.Nimda.e
Worm.Nimda.h
Worm.Opasoft.a
Worm.Opasoft.d
Worm.Opasoft.e
Worm.Randex.d
Worm.Sobig.a
Worm.Sobig.b
Worm.Sobig.c
Worm.Sobig.d
Worm.Sobig.e
Worm.Sobig.f
Worm.Swen
Worm.Tanatos.b
Worm.Tanatos.dll
软件在"冰水工作室"有下载,到百度搜也可以,唉,以后要多注意一下了,防患于未然,要是有正版的系统就好了,呵呵,以后下载软件要注意,防火墙是无论如何要开着的。 根据我的经验 好象有一些别的病毒 毒霸会报是这个病毒 或者.b 变种 多用几种杀毒软件看看 郁闷 我前几天也中了一下这个东西,不过还好找到了解决的办法,没怎么样就搞定了 TMD 我也中了 不过把昨天刚把他杀了!~~~~~~ 我也是昨天中的,我用另外一个硬盘上的系统来杀,结果。。。。。结果。。。我那万恶的朋友说看我弄着费劲,把硬盘的区给我分了,5555555555555
我所有的资料。。。。工具。。。shell。。。。。 [img]http://www.dbeit.com/phpwind/q.JPG[/img]
遇见过,去天空下载个Spant.exe吧
删病毒时最好能,把Spant.exe每个分区复制一个Spant.exe
有利于杀毒,不过有些文件被感染了,还是不能运行了 这个病毒前些天也是中过,我主要是格了C盘,然后用KV扫了我的电脑3遍到4遍
一直扫到没有毒.... 也就搞定了... 中间也用了Spant杀了杀C盘...
很棘手啊.. 大概弄一个下午,时间全花在杀毒上面了..
技术方面没什么... 就是看着杀毒软件在那杀...硬盘在那转.... 我与同学都中过此毒,同学用2005正版瑞星能够杀此毒,但好像效果不是很如意,有一些文件被删除,但大部分文件被修复。总体上讲杀毒反倒没有重装快。我是格系统,删其它盘的EXE重装的。瑞星无法正确清除该毒的scrrun.dll。
我对比过中毒与未中毒的文件,该毒修改EXE文件头的长度信息,并在程序入口插入转向代码,跳到文件尾先执行完感染主体再回跳执行宿主程序。我试着修改回来,但没有成功。(水平太次,`.`)
在网上找到的有关这个病毒的中文描述千篇一律,以下这篇文章是E版的,叙述得比较好。
转载出处:[url]http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=137#[/url]
Win32.Parite.A/B/C ( Win32/Parite )
--------------------------------------------------------------------------------
Virus Encyclopedia
Spreading: MEDIUM Discovered : 2002 Jan 06
Damage: LOW
Size: ~180K
FREE REMOVAL TOOL : Download
SYMPTOMS:
Sensible decrease in hard-drive free space;
A file about 180K, executable in temporary folder written in Borland C++;
Most exe files have over 200K in size.
TECHNICAL DESCRIPTION:
The virus is a file infector that is composed of two parts: a small stub written in Assembler, appended to the files infected that decrypts the main virus body, also appended to the infected file. The main virus body is a PE file written in Borland C++ that it’s dropped in the Windows\TEMP directory (or whatever location temporary files have on your system).
The virus infects PE files, and searches for files with *.exe and *.scr extensions, on local drives, network drives and network shares on local network. Because the virus appends to every infected file the main body, which is ~180K in size, there should be a visible decrease in free space on your volumes. The virus doesn’t show it’s presence in any way, and does not use email for spreading.
Versions A and B are mostly the same, while version C uses a somewhat tricky method of encrypting the original PE file’s entry point. Infected files have the last section’s name consisting of 3 randomly chosed letters followed by a non-printable character.
If in your exe files the last section name is .jbd or .xgt or something like that, then it’s probably a file infected with Parite.
The virus does not damage the file it infects.
REMOVAL INSTRUCTIONS:
BitDefender can disinfect or delete automatically the files infected by this particular virus. The modified registry entries should be corrected manually.
If you don't have BitDefender installed click here to download an evaluation version;
Make sure that you have the latest updates using BitDefender Live!;
Perform a full scan of your system (selecting, from the Action tab, the option Prompt user for action). Choose to disinfect all the files infected with Parite.
ANALIZED BY:
Daniel Ionita
BitDefender Virus Researcher. 全部格盘重新分区肯定能够删除一切病毒。 用北信源的Win32/Parite专杀工具进入安全模式杀一下就可以了.下载地址[url]http://www.vrv.com.cn/tools/killparite.com[/url] 用瑞星2005就可以杀掉了,文件还可以执行。 这个我也中过
后来在网上查了资料..找到了查杀的方法.写了个文章记了下来
[url]http://www.ciker.org/blogview.asp?logID=511[/url]
楼主可以看下.希望对你有帮助. 杀毒的时候 点杀毒不选 删除文件就好了么 信息来源: [url]http://viruslist.rising.com.cn/viruslist.asp?id=51696[/url]
一个简单的Win32感染型病毒,被该病毒感染的PE被加入了一个节(存放病毒代码,病毒代码
本身被进行简单的加密--XOR).染毒PE的执行入口被修改为指向病毒解密代码,当该PE文件被
执行后,将先执行病毒的流程然后再返回到源来宿主程序的代码.
病毒本身并没有太大的危害,但被感染的文件可能因为病毒的问题将无法正常的执行. 我中过好多次。。。郁闷。不过很简单。。下载一个spant.exe专杀工具就ok,有的进程杀不了。可以进安全杀一下就ok了。这个毒很烦人。。还好有专杀,还有就是我用瑞星杀了以后很多exe的都运行不了了,而且他把自己也给删除了。我真是服了,所以我发誓再也不用瑞星了,把我的文件都给弄坏了。不过江民杀了以后没问题。支持江民!。。。 [quote][b]这里是引用第[/b][color=#ff0000][29 楼][/color][b]的[color=#000066]linuxman[/color]于[/b]2006-03-10 10:18[b]发表的:[/b]
我用瑞星杀了以后很多exe的都运行不了了,而且他把自己也给删除了。我真是服了,所以我发誓再也不用瑞星了,把我的文件都给弄坏了。。。。[/quote]
瑞星还会删除自己?有意思。。 我用咔吧满盘杀了一遍 掉了很多工具
然后格C重装了 损失还好不是 很大
免杀的winshell等加壳的程序杀完全出错了 俺以前也为此病毒而费尽了心思.
[url]http://www.ciker.org/blogview.asp?logID=511[/url]
这是我查杀后下的拙文..
然后上网看了下..方法其实还是很多的...要灵活运用. 看了fhod博客文章后:
【因为win32.parite.a这种病毒是感染EXE文件,下载后没毒的文件,只要你运行了,在去查就会提示有毒.我们执行了spant后,关闭了,就算杀了毒,这个文件在没杀之前已经感染.】
没技术的问一下,病毒感染EXE文件,spant.exe下载后运行会中毒,把spant.exe改成spant.com会不会感染呢?
【看来又要去安全模式下走一次了.但安全模式下找到C:\WINNT\Temp\~10A.tmp.然后彻底把他删除.启动后去看下,哈哈~~这个文件终于小时了. 在扫下C盘正常了.】
我每次杀毒完都用windows优化大师删除这些tmp垃圾文件。个人觉得有些用。
楼主那里说病毒驻留内存。28楼的 染毒PE的执行入口被修改为指向病毒解密代码,这些难办。怎么控制它想不明白。能不能写个东东,把所有PE执行入口的病毒解密代码这个删除去呀???
前天看到一个病毒,打开盘符,进入根目录就中毒那个。和Win32/Parite.a两种病毒技术混合一起应该效果不错。或者直接捆一起。哈哈哈哈。 bitdefender专杀这个的。。。。
我不能上传附件,有用的上的到
[url]http://www.xiaocool.ys168.com[/url]
病毒专杀那里下载。。 唉! 今天同学来我家,我出去 他在我家上网
然后.....然后 回来发现中了Win32/Parite.a, 无语... 系统重装了一次,想装好杀毒,结果失误打开了别的盘的EXE,无语... 继续重装! 装卡巴 ,所有的EXE都被感染了,心里那个恨啊!!!!!!!!!!!!
卡巴 居然把所有EXE全删除了, 我那个郁闷!!
以后自己写木马一定加入 感染所有EXE真是 太爽了! [s:267] [s:267] [s:267] [s:267]
页:
[1]