W32/Pate.a 病毒处理小记
一、Win32.parite.a病毒介绍:
简单的说Win32.parite.a通过在Win32PE类型文件(如:scr屏幕保护程序文件、exe可执行文件)的尾部加入加密的程序,PE的执行入口被修改为指向病毒解密代码,使它运行时转到病毒处,执行完病毒的流程然后再返回到宿主程序的代码从而可执行程序便无法正常工作。任何exe和scr文件一旦运行,马上就被感染。
病毒名称:Win32.parite.a(Win32.Pinfi.a)
其它名称:Win32.Parite.a【KAV】、W32/Pate.a【McAfee】、Win32.Pinfi.A【CA】、PE_PARITE.A 【Trend】、W32/Parite-A【Sophos】、W32.Pinfi.a【Symentec】、Win32/Parite.A【RAV】
影响系统:Windows 95、Windows 98、Windows NT、Windows 2000、Windows XP、Windows Me
开发工具:Microsoft Visual C++ 6.0
传播途径:通过映射驱动器和网络共享来传播
二、Win32.parite.a病毒病毒行为:
1、第一次运行时,Win32.parite.a病毒会在TEMP文件夹下创建一个临时文件,而文件名则是随机的,比如: C:\Documents and Settings\Administrator\Local Settings\Temp\lqfc3.tmp(也可能在C:\Window\Temp\*.tmp)。这是一个动态链接库文件,它包含了病毒的主要功能。病毒会感染本地及它可以访问的网络驱动器上的exe和scr文件。任何exe和scr文件一旦运行,马上就被感染。
三、如何查杀病毒
我使用的是McAfee8.5.0i,访问保护一直提示:
2009-11-17 17:18:34 已由访问保护规则禁止 YZL\zqonline C:\WINDOWS\Explorer.EXE D:\Temp\1\pja13.tmp 防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件 已阻止的操作: 执行
只要一运行.EXE文件,就会出现相应的提示。由于我是在服务器上,规则方面设置了禁止从TEMP文件夹中运行文件。
在这个过程中我使用过相应的专杀工具和360也不行。后来直接使用McAfee全盘查杀,反现了一千多个EXE文件被感染,直接清除病毒,这里也比较担心,EXE文件是否还可以运行。事实证明我的担心是多于的。完全扫描杀毒后,系统正常。进行第二次杀毒时没有发现病毒。在网上查了相应的资料,大多数都是说需要进到安全模式或使用DOS启动盘来杀毒,由于环境的原因,只能在Windows下杀毒,我想能完全杀除病毒,主要是我限制了不能在临时目录里运行文件的原因,病毒不能大面积染。
如果还遇着类似的病毒,可以设置temp目录的访问权限,估计也是一个可性的方案。