议题提交：Kernet
信息来源：邪恶八进制信息安全团队

前段时间不小心中了Win32/Parite.a这个病毒,上网Google了一下它的资料:
Win32/Parite.a的病毒程序用C++编写，组成的组件是由汇编程序编写的，感染的文件运行后，直接控制病毒生成文件使其将病毒文件写为临时文件并执行它的感染程序，并在逻辑硬盘和局域网里的共享目录里搜索所有。scr和。exe类型的Win32 PE格式文件进行感染。运行时，病毒会附加在Explorer.exe文件上驻留内存.
这个病毒现在流行的杀毒软件都能杀,而且还有专杀工具可以下载,我用的是卡巴斯基.发现病毒并且清除了病毒,但是可恶的是卡巴把正常的.exe文件和.scr文件也当成病毒给清除了.因为所有的.exe文件都被感染了.这个病毒杀是很简单,但是大部分的.exe已经被感染了,杀毒软件会自动清除的.这个病毒是怎样感染.exe文件的呢?写入病毒本身代码吗.那么既然.exe文件被写入了病毒代码,并且会被杀毒软件查杀,那么怎样恢复呢,只能删除该.exe文件吗?大家谈下看法.

两个星期前,偶的爱机也中了此毒!
所有被感染的EXE文件全都完了!专杀工具偶没有找到!
被病毒感染的文件应该是不能恢复的,反正俺是重新装的!

虽然没有附带自己的研究过程 但是勉强通过 是因为比较典型
下次一定要附带自己更详细的研究过程：）

最好能提供病毒体

我记得前几天我也中了个病毒
在瑞星病毒库里找不到,但是可以杀掉,病毒的名字叫白雪公主吧
可以改变文件的大小,我当时不敢杀,就怕杀了以后造成损失,因为病毒涉及的面比较广
为此还特意去请教冰雪了的.

这个病毒意见碰到过,是文件型的..
以前看了一下好象是添加一段程序并且添加一个PE字段...
由于是感染文件,所以碰到现在大多数的杀毒程序都是只杀程序不杀病毒...所以好象也没什么办法,除非有专杀的工具

我的原则是 不该装的软件不装 不好玩的游戏不玩 外挂除非经过测试的不用
不用的端口全部禁掉
这样病毒什么的就不会欺负我了

好象大家都中过似的
呵呵

exploit  重装是8行D  除非你刚中了就已经发现了

因为它会感染所有的EXE文件  表告诉我说
你除了系统盘有EXE以外，其他盘都没有  被感染以后 只要运行EXE 就会再次进行传染

其他的几个杀毒偶不清楚（偶不喜欢使用杀毒），但是知道 ”喀吧鸡死“ 它的确是可以杀的，只是当时你开机已经运行了 explorer.exe 所以这个还是没有杀全的
PS：说不定它也会被感染了呢  ：）

除了使用 Spant.exe 以外（这个可以说是专杀了，并且大多数EXE文件不会被破坏，我说大多数是因为的确有被破坏的，不过少数情况）  我另外提供一种方法 只供参考

可以使用 趋势的在线杀毒  http://www.trendmicro.com.cn/housecall/start_corp.asp
注意方法哦，其他不用说，确认了什么的  只是最后一步，会弹出一个杀毒的新窗口（运行程序），开始检测并杀毒，在它弹出来的时候，迅速调出 任务管理器，结束 explorer .exe进程（因为它也被感染了） ，这个时间很短，但完全是可以成功的，因为开始我不知道 spant.exe 可以杀的时候
就这么解决的  

其实简单的话，还是使用 spant.exe 好，虽然个别文件会被 搞坏  。（我这里只有几个 EXE的动画被破坏了，其他运行程序没问题）

OVER  呵呵  烂吧

稍微补充点这个病毒的相关 我所知资料  看来最近冰血对病毒 具有研究态度  上瘾了 呵呵

开始中这病毒的时候，在搜索里找不到资料 于是跑去国外了，（其实算俺衰，看的差不多的时候，忽然就发现了中文资料 ，真是浪费脑细胞 ）

通过局域网传播该病毒，感染所有 exe 和 SCR文件  在临时文件里释放DLL文件，文件名随机产生，具体忘记了，大概是说 随机产生的名字有规律可寻  字母+16进制数字  （字母几位数字几位忘记了）

好多所谓的专杀或者可以杀的 都会杀不干净 或者毁坏其他正常文件  代价太大了
哦，  另外，它会在 注册表 Explorer  键下 （HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer ）下生成PINF 键值  这个是我当时鉴别的主要方式  冰血快点在自己机器上运行一下吧  呵呵

再补充，从名字上看，应该是有变种的 Win32/Parite.a  Win32/Parite.b

zhcin
因多次参与技术讨论 所以开通VIP：）希望以后多多指导和参与我们的讨论...

灌水原来有这好处呀  那以后要多多“灌”了 呵呵

刚去发那个搞笑帖，忽然发现 级别变了  于是翻下  居然在这里
当庆祝偶 论坛注册成功 5个月整吧

顺便告诉冰血如何拿到这病毒

其实再简单不过了 ， 因为那天忽然发现偶英文系统下
任务管理器里忽然多了  ~+字母+数字.tmp 的进程（类似与~DFD738.tmp）
真是把我给晕一下  居然会有这种进程  但是把这些单独拿出去是不会运行的了
于是想想它是如何生成的（废话，当然病毒生成的了）
那 只要让楼主  或者 exploit 把他盘里 的一个exe文件发给冰血  而冰血运行就可以了
只消 一天 就有效果  嘿嘿

系统盘,其他盘根目录.KV可杀带CRC的文件报废

不,我在1个月前中过,我当时用瑞星杀,他会清除病毒,不会删除文件

要分析的人注意了，这个病毒是加密的

各位 想清楚的话 我推荐一个专杀
北信源的专杀
http://www.vrv.com.cn/tools/killparite.com
可以试验下
相当好用!

终于找到一位仁兄写的很详细的解决方法，给中此毒的朋友们一点帮助

下面是原文  作者:kellysky

杀除win32.parite.a病毒- -
                          

    无奈，刚刚开学就发现计算机中病毒了，郁闷得很。win32.parite.a这家伙我对他都无奈了！偶重装系统N次了也

不管用，格式化硬盘又不舍得那些好东东。没办法到网上猛搜，说实话实在受不了瑞星的文件监控，整天

报警，关了又觉得不保险，不过还是关了，呵呵，毕竟有一些黑软都不同程度的带一些病毒，或者是不是

病毒的病毒，比如注册机，今天无聊决定对付一下win32.parite.a这块难啃的骨头，用瑞星和卡巴斯基扫

到我电脑竟然有N多这种病毒，也是在我意料之中，不过这种病毒很难杀，用卡巴斯基和瑞星以及江民都

无法彻底杀掉，都是EXE文件。最后有消息框"病毒已经被清除，剩下的一个在重起后就会被删除
重启后又死灰复燃。在瑞星网站，瑞星专家说是升级到最新，然后制作一个杀毒A盘在DOS环境下杀，呵呵

，结果还是老样子。
我记得网上有种方法是
1.将d:\\system\\windows目录下的所有exe文件不包括（flcess.exe 和sysexplorer.exe）
设为读取，将d:\\bar目录下的exe文件设为读取;


2.将e:\\profiles目录下的历史记录目录设为读取；


3.禁用文件系统对象FileSystemObject
　　
方法：直接查找scrrun.dll文件删除或者改名。
4. 加入注册表，禁止下载IE相关控件(ActiveX)，可以将此文件拷入d:\\system\\newreg目录下，然后选

择通知工作站升级；
注册表如下:
REGEDIT4
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX

Compatibility\\{B83FC273-3522-4CC6-92EC-75CC86678DA4}]
"Compatibility Flags"=dword:00000400


[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX

Compatibility\\{9A578C98-3C2F-4630-890B-FC04196EF420}]
"Compatibility Flags"=dword:00000400


[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX

Compatibility\\{CF051549-EDE1-40F5-B440-BCD646CF2C25}]
"Compatibility Flags"=dword:00000400


[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX

Compatibility\\{4EDBBAEA-F509-49F6-94D1-ECEC4BE5B686}]
"Compatibility Flags"=dword:00000400


[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX

Compatibility\\{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}]
"Compatibility Flags"=dword:00000400


[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX

Compatibility\\{9BBC1154-218D-453C-97F6-A06582224D81}]
"Compatibility Flags"=dword:00000400


[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX

Compatibility\\{00000566-0000-0010-8000-00AA006D2EA4}]
"Compatibility Flags"=dword:00000400


[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX

Compatibility\\{4B106874-DD36-11D0-8B44-00A024DD9EFF}]
"Compatibility Flags"=dword:00000400


[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX

Compatibility\\{6E449683_C509_11CF_AAFA_00AA00B6015C}]
"Compatibility Flags"=dword:00000400


注意：强制禁止下载.把存放IE临时文件的文件夹设置为读取权限。(这样可能有些语聊的网站,需要下载

语聊插件的不能正常使用了)


5.在服务器安装防火墙；


以下为变态方法,作为杀毒方法的后续，如果想要安全可以加入：


6.专杀工具spant，可以加到启动组中，工作站启动随时可以杀病毒；


7.将所有文件设为只读（不包括网络游戏的EXE文件）；


8.删除IE浏览器，暂时避过WIN32病毒风头
有朋友用过这种方法，觉得不错，上面提到专杀工具spant。我觉得还可以。
从网上下载了流行病毒查杀工具spant.然后一个盘复制一个spant.我是四个盘.
因为win32.parite.a这种病毒是感染EXE文件,下载后没毒的文件,只要你运行了,在去查就会提示有毒.我

们执行了spant后,关闭了,就算杀了毒,这个文件在没杀之前已经感染.
所以在C盘放一个,杀后,删除此spant,在用另一个去杀.
重启,F8进入安全模式.然后就是漫长的杀毒.虽然漫长但是我忍了，真希望这次能彻底删除，还不错，终

于OK了。不过发现一些软件不能用了，就当捡了西瓜丢了芝麻好了，具体什么原因导致软件不能运行，我

也不想追查了，重新解压缩一遍好了。
Spant杀毒工具还不错，可以杀
   Trojan.Bboy
   Trojan.Bboy.dll
   Trojan.CodeRed2
   Trojan.NewSuper
   Trojan.NewSuper.dll
   Trojan.NewSuper.inf
   Trojan.NewSuper.maker
   Trojan.PopWeb.hao
   Trojan.PopWeb.mail263
   Trojan.QQSender.52mm
   Trojan.QQSender.dj3344
   Trojan.QQSender.hao114
   Trojan.QQSender.hao3344
   Trojan.QQSender.jinboy
   Trojan.QQSender.ktv530
   Trojan.QQSender.mmm110
   Trojan.QQSender.mmqm
   Trojan.QQSender.nicex
   Trojan.QQSender.qq3344
   Trojan.QQSender.qq886
   Trojan.QQSender.yy518
   Trojan.StarPage
   Win32.Funlove.4070
   Win32.Founlove.4608
   Win32.Parite.176128
   Win32.Parite.a
   Win32.Parite.b
   Win32.Xorala.2048
   Win95.CIH.1003
   Win95.CIH.1010
   Win95.CIH.1019
   Win95.CIH.1024
   Win95.CIH.1026
   Win95.CIH.1040
   Win95.CIH.1042
   Win95.CIH.1230
   Win95.CIH.1262
   Win95.CIH.1363
   Win95.CIH.876
   Win95.CIH.973
   Worm.KillMsBlast
   Worm.Klez.h
   Worm.Lentin.m
   Worm.LovGate.c
   Worm.LovGate.dll
   Worm.LovGate.e
   Worm.LovGate.f
   Worm.LovGate.h
   Worm.LovGate.h.49152
   Worm.LovGate.i
   Worm.LovGate.i.49152
   Worm.LovGate.j
   Worm.LovGate.k
   Worm.Mimail
   Worm.MsBlast
   Worm.Nimda
   Worm.Nimda.e
   Worm.Nimda.h
   Worm.Opasoft.a
   Worm.Opasoft.d
   Worm.Opasoft.e
   Worm.Randex.d
   Worm.Sobig.a
   Worm.Sobig.b
   Worm.Sobig.c
   Worm.Sobig.d
   Worm.Sobig.e
   Worm.Sobig.f
   Worm.Swen
   Worm.Tanatos.b
   Worm.Tanatos.dll

软件在"冰水工作室"有下载，到百度搜也可以，唉，以后要多注意一下了，防患于未然，要是有正版的系统就好了，呵呵，以后下载软件要注意，防火墙是无论如何要开着的。

根据我的经验 好象有一些别的病毒 毒霸会报是这个病毒 或者.b 变种 多用几种杀毒软件看看

郁闷  我前几天也中了一下这个东西,不过还好找到了解决的办法,没怎么样就搞定了

TMD  我也中了    不过把昨天刚把他杀了！~~~~~~

我也是昨天中的，我用另外一个硬盘上的系统来杀，结果。。。。。结果。。。我那万恶的朋友说看我弄着费劲，把硬盘的区给我分了，5555555555555
我所有的资料。。。。工具。。。shell。。。。。

遇见过，去天空下载个Spant.exe吧
删病毒时最好能，把Spant.exe每个分区复制一个Spant.exe
有利于杀毒，不过有些文件被感染了，还是不能运行了

这个病毒前些天也是中过,我主要是格了C盘,然后用KV扫了我的电脑3遍到4遍
一直扫到没有毒....  也就搞定了... 中间也用了Spant杀了杀C盘...
很棘手啊.. 大概弄一个下午,时间全花在杀毒上面了..
技术方面没什么... 就是看着杀毒软件在那杀...硬盘在那转....

我与同学都中过此毒，同学用2005正版瑞星能够杀此毒，但好像效果不是很如意，有一些文件被删除，但大部分文件被修复。总体上讲杀毒反倒没有重装快。我是格系统，删其它盘的EXE重装的。瑞星无法正确清除该毒的scrrun.dll。
我对比过中毒与未中毒的文件，该毒修改EXE文件头的长度信息，并在程序入口插入转向代码，跳到文件尾先执行完感染主体再回跳执行宿主程序。我试着修改回来，但没有成功。（水平太次，`.`）
在网上找到的有关这个病毒的中文描述千篇一律，以下这篇文章是E版的，叙述得比较好。
转载出处：http://www.bitdefender.com/bd/si ... _id=1&v_id=137#
Win32.Parite.A/B/C ( Win32/Parite )
--------------------------------------------------------------------------------

Virus Encyclopedia

Spreading:  MEDIUM  Discovered : 2002 Jan 06  
Damage:  LOW   
Size:  ~180K   

FREE REMOVAL TOOL : Download
SYMPTOMS:   
Sensible decrease in hard-drive free space;

A file about 180K, executable in temporary folder written in Borland C++;

Most exe files have over 200K in size.


TECHNICAL DESCRIPTION:   
The virus is a file infector that is composed of two parts: a small stub written in Assembler, appended to the files infected that decrypts the main virus body, also appended to the infected file. The main virus body is a PE file written in Borland C++ that it’s dropped in the Windows\TEMP directory (or whatever location temporary files have on your system).

The virus infects PE files, and searches for files with *.exe and *.scr extensions, on local drives, network drives and network shares on local network. Because the virus appends to every infected file the main body, which is ~180K in size, there should be a visible decrease in free space on your volumes. The virus doesn’t show it’s presence in any way, and does not use email for spreading.

Versions A and B are mostly the same, while version C uses a somewhat tricky method of encrypting the original PE file’s entry point. Infected files have the last section’s name consisting of 3 randomly chosed letters followed by a non-printable character.

If in your exe files the last section name is .jbd or .xgt or something like that, then it’s probably a file infected with Parite.

The virus does not damage the file it infects.
REMOVAL INSTRUCTIONS:   
BitDefender can disinfect or delete automatically the files infected by this particular virus. The modified registry entries should be corrected manually.


If you don't have BitDefender installed click here to download an evaluation version;

Make sure that you have the latest updates using BitDefender Live!;

Perform a full scan of your system (selecting, from the Action tab, the option Prompt user for action). Choose to disinfect all the files infected with Parite.
  
ANALIZED BY:
Daniel Ionita
BitDefender Virus Researcher.

全部格盘重新分区肯定能够删除一切病毒。

用北信源的Win32/Parite专杀工具进入安全模式杀一下就可以了.下载地址http://www.vrv.com.cn/tools/killparite.com