感染exe文件Win32.parite.a病毒分析

　　最近很是郁闷，很多exe程序都打不开了，而且杀毒软件提示文件被修改，此时知道是中毒了,中了Win32.parite.a，它是一个比较老的病毒了，感染大部分*.exe文件，连SReng都被破坏无法运行...下面 对32.parite病毒进行一下分析。

　　Win32.parite.a病毒清除方法请见：彻底查杀清除Win32.parite.a病毒【附：专杀工具下载】

　　一、Win32.parite.a病毒介绍：

　　简单的说Win32.parite.a通过在Win32PE类型文件(如：scr屏幕保护程序文件、exe可执行文件)的尾部加入加密的程序，PE的执行入口被修改为指向病毒解密代码，使它运行时转到病毒处，执行完病毒的流程然后再返回到宿主程序的代码从而可执行程序便无法正常工作。任何exe和scr文件一旦运行，马上就被感染。

　　病毒名称：Win32.parite.a(Win32.Pinfi.a)

　　其它名称：Win32.Parite.a【KAV】、W32/Pate.a【McAfee】、Win32.Pinfi.A【CA】、PE_PARITE.A 【Trend】、W32/Parite-A【Sophos】、W32.Pinfi.a【Symentec】、Win32/Parite.A【RAV】

　　影响系统：Windows 95、Windows 98、Windows NT、Windows 2000、Windows XP、Windows Me

　　开发工具：Microsoft Visual C++ 6.0

　　传播途径：通过映射驱动器和网络共享来传播

　　二、Win32.parite.a病毒病毒行为：

　　1、第一次运行时，Win32.parite.a病毒会在TEMP文件夹下创建一个临时文件，而文件名则是随机的，比如： C:\Documents and Settings\Administrator\Local Settings\Temp\lqfc3.tmp(也可能在C:\Window\Temp\*.tmp)。这是一个动态链接库文件，它包含了病毒的主要功能。病毒会感染本地及它可以访问的网络驱动器上的exe和scr文件。任何exe和scr文件一旦运行，马上就被感染。

　　2、运行时病毒会附加在Explorer.exe文件上以便驻留内存。 用金山清理专家查看进程Explorer.exe显示为红色，并有可疑DLL加载(忘了截图了~~)。

　　4、病毒会在注册表HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer下添加PINF键值。

　　3、只要运行exe文件，病毒就随之运行，这时我的风云主动防御提示多个exe被修改重新创建。(其它防火墙也有提示，一定选择禁止创建)

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点