pagefile.pif (W32.Pagipef.B) 
2007-07-07 19:07:11
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://gudugengkekao.blog.51cto.com/172212/33266 |
昨天在别人电脑上抓的````一个pagefile.pif````
不记得自己写过没有``不过以前遇到过几次``好像是更新的版本`
`过7日的卡吧、瑞星、BD等``
这次更新的版本比较恶劣,怀疑是熊猫原码泄露```` :(
…………
Aditional Information
File size: 69632 bytes MD5: 86ae07b7f81a35f268d11fe39a090a50 SHA1: a09329ed3d8b729372f01819b30c3004011e04ee CRC32 : 84E8D7FA RIPEMD160: 1C8C3977C66AF86DBC31D38BBD7A0CB4F10096B9 SHA160 : A09329ED3D8B729372F01819B30C3004011E04EE packers: BINARYRES, FSG Languages:Microsoft Visual C++ 6.0 运行,释放:
%Systemroot%\system32\Com\lsass.exe 69632 字节 (RHSA)
%Systemroot%\system32\Com\smss.exe 9261 字节
每个分区(C—F)下的Autorun.inf和pagefile.pif
貌似不支持U盘传播 =.=`(至少没跟踪到)
修改注册表:
(用了另类方法破坏“显示隐藏文件”功能)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
的ShowSuperHidden值修改为0(原本为1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
的Type值写入乱码(原为checkbox)
假冒系统文件的lsass.exe 和smss.exe (路径为%Systemroot%\system32\Com\)``
使用双进程守护技术```
监视对方的存在和自身同党、注册表项等``如被修改或删除,则重写````
并尝试关闭下列关键字:
process
安全卫士
asm
ida
进程
卡巴
瑞星
毒霸
杀毒
江民
softice
virus
symantec
avp
regedit
kaka
汗``连反汇编工具都不放过`````!
后遍历磁盘,查找扩展名为jsp php spx asp tml htm的,插入一段代码:
解密后得:
由于时间关闭,并未光临该网站,我猜一定有很多好玩的东西````
最后还感染了除系统盘和Windows目录的所有EXE文件``从D盘开始`````
感染方式为捆绑``多了2个MZ头,应该是那2个狼狈为**假冒系统文件的东东吧``
没有深入跟踪```自己也不清楚````` :Q
解决方法:
下不了的,自己去网上找````
放到桌面,关闭不需要的进程```断开网络``
打开PowerRmv,选上“抑制对象生成”,填入(一次一个,后面不要有空格):
C:\Windows\system32\Com\lsass.exe
C:\Windows\system32\Com\smss.exe
C:\AUTORUN.INF
C:\pagefile.pif
D:\AUTORUN.INF
D:\pagefile.pif
E:\AUTORUN.INF
E:\pagefile.pif
F:\AUTORUN.INF
F:\pagefile.pif
打开注册表,把上面提到的键值改回来```ShowSuperHidden和Type值```
然后升级杀软,全盘扫``修复被感染的EXE文件```
(捆绑方式的,修复成功率应该很高吧?。。。)
PP:
    本文出自 “孤独更可靠” 博客,请务必保留此出处http://gudugengkekao.blog.51cto.com/172212/33266 本文出自 51CTO.COM技术博客 |
孤独更可靠
博客统计信息
热门文章
最新评论
友情链接
