科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道pagefile.pif病毒分析

pagefile.pif病毒分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

pagefile.pif(磁碟机变种)释放病毒副本,添加启动文件夹,开机启动,调用cacls,本身不判断文件系统(FAT或NTFS),后解除目录Com的权限,设为完全控制等行为。

作者:论坛整理 来源:zdnet网络安全 2008年2月28日

关键字: pagefile.pif pagefile.pif病毒 pagefile.pif专杀 pagefile.pif是什么

  • 评论
  • 分享微博
  • 分享邮件

pagefile.pif(磁碟机变种)

Worm.Win32.DiskGen

文件名称:lsass.exe\smss.exe
 
病毒名称:Worm.Win32.DiskGen(瑞星) Trojan.Win32.Agent.ctd(卡吧)
 
中文别名:磁碟机
 
文件长度:94208 byte
 
编写语言:Microsoft Visual C++ 6.0
 
文件MD5:0c6852cc681e40e3d4a77f36c8d3c569
 
依赖平台:Win 9X/ME/NT/2K/XP/2K3
 
行为分析:
 
1、释放病毒副本:
 
%Systemroot%\system32\Com\lsass.exe 94208 字节
%Systemroot%\system32\Com\smss.exe 9365 字节
%Systemroot%\system32\Com\netcfg.dll 40960 字节
 
2、添加启动文件夹,开机启动:
 
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.pif
 
另外netcfg.dll尝试加载Shellhooks注册表项,但没有实现。
 
3、调用cacls,本身不判断文件系统(FAT或NTFS),后解除目录Com的权限,设为完全控制。
 
参数为:C:\winnt\system32\com /e /t /g admin:F
 
4、连接网络121.11.245.1**( 广东省惠州市 电信)下载一个ARP病毒
 
释放到:%Systemroot%\system32\drivers\alg.exe 15181 字节
 
5、查找硬盘的文件,如名称里有“360”字样则删除。
 
6、可能会关闭一些窗口:
 
"ollydbg"
"softice"
"ida"
"asm"
"360"
"木马"
"清除"
..................
 
7、另外那个仿系统文件的smss.exe,应该和主体lsass.exe是互斥体,也起着进程守护的作用。
 
8、查找磁盘,生成Auorun.inf和pagefile.pif。
 
9、跳过C盘,开始感染EXE文件,但并不全部感染。
 
感染时先把文件加载内存中,提取其图标资源,最后删除原文件,把修改过的文件栲贝回去。
 
因为这样,所以图标会变模糊,可能是无法读32位的....(知道的大牛请指导下)
 
PS:运行感染的文件,会释放一个filename.exe.log。但是仍无法执行
 
用PE工具对比下,基本上文件是报废了,区段被覆盖,DOS头、入口等都发生变化``
 
10、感染文件时如果发现Zip和Rar格式的,则用Rar自解压命令释放EXE文件,感染后重新打包放回原处!
 
汗一个....高科技了
 
11、查找硬盘的htm、html、asp、spx、php、jsp网页文件,插入一段框架代码(16进制加密)
 
解后得:h**p://js.k0102.com/01.asp。
 
被和谐了汗,打不开!
 
解决方法:
 
1、下载:
 
http://www.kingzoo.com/tools/孤独更可靠/PowerRmv.com
http://www.kingzoo.com/tools/孤独更可靠/冰刃.rar
 
2、运行冰刃,结束假冒系统文件的病毒(Lsass.exe和smss.exe)
 
注意,路径在C:\Windows\system32\Com\下
 
3、打开,选上抑制杀灭对象生成,填入下面内容后,确定:
 
C:\Windows\system32\Com\lsass.exe
C:\Windows\system32\Com\smss.exe
C:\Windows\system32\drivers\alg.exe
C:\Windows\system32\Com\netcfg.dll
C:\AUTORUN.INF
C:\pagefile.pif
D:\AUTORUN.INF
D:\pagefile.pif
E:\AUTORUN.INF
E:\pagefile.pif
F:\AUTORUN.INF
F:\pagefile.pif
 
4、删除文件:
 
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.pif
 
5、重新安装杀毒软件,以前的杀软可能被感染了。
 
然后全盘扫。。那些被感染的文件恢复可能性不大``
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章