Win32.Parite.b

病毒別名：Win32.Parite.b

威脅級別：★★

病毒類型：Win32病毒、蠕蟲病毒

影響系統：Win9x / WinNT

1、在註冊表該位置

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer

添加鍵值

PINF

2、在臨時目錄中釋放一個dll檔案，但是其檔案名稱是隨機的，擴展名為 .tmp

病毒名稱：20060515_Win32.Parite.b

病毒類型：病毒

檔案 MD5：17044C4329C65837F77A6CE7EBA306CD

公開範圍：完全公開

危害等級：中

檔案長度：203,225 位元組

感染系統：windows 98 及以上版本

開發工具：Microsoft Visual C++ 6.0

加殼類型：未知殼

命名對照：Symentec[W32.Pinfi]

Mcafee[W32/Pate.b]

該病毒具有後門、蠕蟲的性質，病毒嘗試枚舉弱口令並複製原病毒副本到其它的主機中。感染該病毒後，病毒會連線到某IRC地址，等待並接受惡意者的控制，如：刪除、下載、上傳、執行任意檔案等，病毒還會修改註冊表檔案，達到隨系統啟動的目的，該病毒對用戶有一定的危害。

行為分析：

1、複製原病毒副本到：

%winnt%\winlogon.exe

%Documents and Settings\Administrator

\Local Settings%\temp\%<random>.tmp(4個隨機字元)

2、修改註冊表檔案，達到隨系統啟動的目的：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run\ICQ Net

鍵值: 字串: "C:\WINNT\winlogon.exe -stealth"

3、連線到某IRC，等待惡意者的連線，並接受惡意操作，如：刪除、下載、上傳、執行任意檔案等。

註：% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32，windows95/98/me中默認的安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。

1、使用北信源的win32.parite.B專殺工具可徹底清除此病毒(推薦)。

2、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

(1) 使用安天木馬防線“進程管理”關閉病毒進程

(2) 刪除病毒檔案：%winnt%\winlogon.exe並清理臨時資料夾

(3) 恢復病毒修改的註冊表項目，刪除病毒添加的註冊表項

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run\ICQ Net

鍵值：字串： "C:\WINNT\winlogon.exe -stealth"