基本信息

病毒行为

病毒描述

清除方案

基本信息

病毒别名：Win32.Parite.b

威胁级别：★★

病毒类型：Win32病毒、蠕虫病毒

影响系统：Win9x / WinNT

病毒行为

这是一个 Win32 环境下的变形感染型病毒，感染本地硬盘和局域网内被映射盘中的扩展名为 .exe 和 .scr 的PE文件，与a变种相比，其变形更加复杂。

1、在注册表该位置

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer

添加键值

PINF

2、在临时目录中释放一个dll文件，但是其文件名是随机的，扩展名为 .tmp

病毒名称：20060515_Win32.Parite.b

病毒类型：病毒

文件 MD5：17044C4329C65837F77A6CE7EBA306CD

公开范围：完全公开

危害等级：中

文件长度：203,225 字节

感染系统：windows 98 及以上版本

开发工具：Microsoft Visual C++ 6.0

加壳类型：未知壳

命名对照：Symentec[W32.Pinfi]

Mcafee[W32/Pate.b]

病毒描述

该病毒具有后门、蠕虫的性质，病毒尝试枚举弱口令并复制原病毒副本到其它的主机中。感染该病毒后，病毒会连接到某IRC地址，等待并接受恶意者的控制，如：删除、下载、上传、执行任意文件等，病毒还会修改注册表文件，达到随系统启动的目的，该病毒对用户有一定的危害。

行为分析：

1、复制原病毒副本到：

%winnt%\\winlogon.exe

%Documents and Settings\\Administrator

\\Local Settings%\\temp\\%<random>.tmp(4个随机字符)

2、修改注册表文件，达到随系统启动的目的：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows\\CurrentVersion\\Run\\ICQ Net

键值: 字串: "C:\\WINNT\\winlogon.exe -stealth"

3、连接到某IRC，等待恶意者的连接，并接受恶意操作，如：删除、下载、上传、执行任意文件等。

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

清除方案

1、使用北信源的win32.parite.B专杀工具可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件：%winnt%\\winlogon.exe并清理临时文件夹

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows\\CurrentVersion\\Run\\ICQ Net

键值：字串： "C:\\WINNT\\winlogon.exe -stealth"