解決 病毒Parite.B | 分析 Parite.B 病毒威脅

[userl]

類型Win32多態性fileinfector的病毒
影響到的系統：win95，win98，winME，winNT，Windows 2000中，Windows XP中
威脅度: 高
殺軟有效: http://www.qunlin.net/forum/viewtopic.php?f=22&t=112

執行後，病毒Parite.B將保留在內存中，並感染每一個SCR和PE文件在每個驅動器和網絡共享

這種寄生駐留內存的病毒
相同Win32.Parite.a。它不同於Parite.a 是還在系統註冊表中創建：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF]

感染病毒後到主機文件，其中包含的主要病毒代碼以加密的形式增加了一個新節（這部分是隨機命名的3個字母，然後由ASC-II字符07）。後來放了個文件是一個隨機命名的臨時文件到TEMP文件夾，使用windows API函數獲取這個路徑。

被注入到Windows資源管理器的臨時文件（約172KB大小）。這意味著，如果資源管理器運行時，該病毒在內存中保持活躍。

病毒需要從受感染的文件FileHeader裡的原始入口點（OEP），舊的入口點加密與一個隨機生成的32位值，這個計算的入口值存儲在加密的文件的最後一節，病毒寫入本身。

它需要原始入口點執行受感染文件後的病毒代碼被執行。
注：在下面的文字，％WINDIR％表示Windows目錄（如C：\ WINDOWS），％％表示Windows系統目錄（如C：\ WINDOWS \ SYSTEM32），根據不同的各種版本的Microsoft Windows。

Parite使用2個不同的，隨機生成的，32位的值，
在2個隨機地址在原來的主機文件，並覆蓋這些文件的地址，如果不運行。
如果受感染的文件被激活時，病毒恢復此數據，滿分為程序代碼的加密部分。這是一個特殊的機制，使受感染的文件清潔更加困難。
病毒枚舉並掃描所有網絡共享，並試圖感染所有的Windows32可執行的和屏幕保護程序文件。