pagefile.pif(磁碟机变种)

《pagefile.pif(磁碟机变种)》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、pagefile.pif(磁碟机变种)～教育资源库　　文件名称：lsass.exesmss.exe　　病毒名称：icrosoftVisualC++6.0　　文件MD5：0c6852cc681e40e3d4a77f36c8d3c569　　依赖平台：E/NT/2K/XP/2K3　　行为分析：　　1、释放病毒副本：　　%Systemroot%system32lsass.exe94208字节　　%Systemroot%system32smss.exe9365字节　　%Systemroot%system32cfg.dll40960字节　　2、添加启动文件夹，开机启动：　　C:Documentsan

2、dSettings当前用户名「开始」菜单程序启动~.pif　　另外cfg.dll尝试加载Shellhooks注册表项，但没有实现。　　3、调用cacls，本身不判断文件系统（FAT或NTFS），后解除目录的权限，设为完全控制。　　参数为：C:32/e/t/gadmin:F　　4、连接网络121.11.245.1**（广东省惠州市电信）下载一个ARP病毒　　释放到：%Systemroot%system32driversalg.exe15181字节　　5、查找硬盘的文件，如名称里有360字样则删除。　　6、可能会关闭一些窗口：　　ollydbg　　softice　　ida　　asm　　360

3、　　木马　　清除　　..................　　7、另外那个仿系统文件的smss.exe，应该和主体lsass.exe是互斥体，也起着进程守护的作用。　　8、查找磁盘，生成Auorun.inf和pagefile.pif。　　9、跳过C盘，开始感染EXE文件，但并不全部感染。　　感染时先把文件加载内存中，提取其图标资源，最后删除原文件，把修改过的文件栲贝回去。　　因为这样，所以图标会变模糊，可能是无法读32位的....（知道的大牛请指导下）　　PS：运行感染的文件，会释放一个filename.exe.log。但是仍无法执行　　用PE工具对比下，基本上文件是报废了，区段被覆盖，D

4、OS头、入口等都发生变化``　　10、感染文件时如果发现Zip和Rar格式的，则用Rar自解压命令释放EXE文件，感染后重新打包放回原处！　　汗一个....高科技了　　11、查找硬盘的htm、html、asp、spx、php、jsp网页文件，插入一段框架代码（16进制加密）　　解后得：h**p://js.k0102.01.asp。　　被和谐了汗，打不开！　　解决方法：　　1、下载：　　tools/孤独更可靠/Pov.　　tools/孤独更可靠/冰刃.rar　　2、运行冰刃，结束假冒系统文件的病毒（Lsass.exe和smss.exe）　　注意，路径在C:ss.exe　　C:entsand

5、Settings当前用户名「开始」菜单程序启动~.pif　　5、重新安装杀毒软件，以前的杀软可能被感染了。　　然后全盘扫。。那些被感染的文件恢复可能性不大``友情提醒：，特别！