软件上绑着木马 国内某金融网站疑遭病毒感染

安全
笔者昨日在某金融网站上下载软件时,发现该站上大部分软件均被捆绑了木马。绑马的软件下载地址包括:hxxp://www.XXX.com/cd/1.asp中的大部分软件。

【51CTO.com 独家报道】笔者昨日在国内某知名金融网站上试用软件时,发现该站上大部分软件均被捆绑了木马。绑马的软件下载地址包括:hxxp://www.XXX.com/cd/1.asp中的大部分软件。

笔者下载“EMoney2.0_SetupMin.exe”和“EMoney2.5_Setup.exe”(hxxp://compute.XXXcom.cn/ficsoft/EMoney2.0_SetupMin.exe)这两个软件扫描后,杀毒软件开始报警,EMoney2.0_SetupMin如图1所示。

图1

在51CTO编辑发稿后,该站点迅速修复了带病毒的软件。

据国内某安全公司员工研究发现,该病毒应该是传说中的:白蚁 
病毒英文名:Win32/Parite
病毒类型:文件型
影响平台:Win9X/2000/XP/NT/Me
感染对象:所有的.exe及.scr格式文件
描述:Win32/Parite的病毒程序用C++编写,组成的组件是由汇编程序编写的。

病毒原理:

1. 生成病毒文件 2. 篡改系统注册表 3.感染所有硬盘的EXE及SCR文件 4. 通过网络共享传播

传播过程及特征:

1.感染的文件运行后,直接控制病毒生成文件使其将病毒文件写为临时文件并执行它的感染程序。
2.在逻辑硬盘和局域网里的共享目录里搜索所有.scr和.exe类型的Win32 PE格式文件进行感染。
3.它不能表明自身的存在方式。

感染形式:

Win32/Parite是一种具有多个变种的病毒,它感染本地及共享网络上的Windows可执行文件。
第一次运行时,病毒会创建一个临时文件,而文件名则是随机的,比如:C:\WINDOWS\TEMP\pgt91F0.TMP
这是一个动态链接库文件,它包含了病毒的主要功能。而病毒会把本地的动态链接库文件贮存在注册表中:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF,运行时,病毒会附加在Explorer.exe文件上以便驻留内存。病毒会感染本地及它可以访问的网络驱动器上的*.EXE 和 *.SCR文件。

清除方法:

直接格式化C盘是无济于事的,因为这个病毒会感染别的盘符下所有exe文件,所以首先要保证所有盘中的病毒都清除干净!建议下载专杀工具进行查杀。

防毒建议:

现在有很多病毒都会感染EXE文件,如果有些EXE执行文件不常用,最好压缩存放,既减少硬盘使用空间,又可以防止一些感染EXE文件的病毒。

积极防毒建议:

安装杀毒软件或其他安全辅助软件(如360安全卫士,超级巡警等等,同时要开启实时保护)。

【51CTO.com 独家报道,转载请注明出处及作者!】

【编辑推荐】

  1. eEye工程介绍:漏洞大曝光 编写引导层RootKit
  2. 构建安全服务器环境阻止黑客攻击
  3. 黑帽大会:牵系着互联网安全的神经
  4. 详解IE8新增安全功能
责任编辑:王文文 来源: 51CTO.com
相关推荐

2011-11-23 14:35:32

2017-05-14 23:03:59

2021-08-17 11:57:27

Golang加密蠕虫恶意软件

2011-09-16 11:25:27

2011-03-08 08:54:10

2010-01-10 18:04:48

病毒感染清理系统

2015-11-26 09:40:17

2011-12-20 10:05:51

2021-04-23 22:39:43

计算机安全程序

2009-11-10 12:51:35

NTFS权限禁止autorun病毒

2017-05-24 11:15:17

网络安全精选文章

2013-05-13 10:14:08

2013-06-03 13:25:52

2012-07-02 10:28:10

2010-11-01 11:29:48

绿盟科技

2013-10-31 11:11:07

2021-05-07 15:15:03

计算机病毒网络安全密码

2018-04-07 17:13:12

2015-06-09 14:53:41

2013-11-01 14:39:51

点赞
收藏

51CTO技术栈公众号