【51CTO.com 獨(dú)家報(bào)道】筆者昨日在國內(nèi)某知名金融網(wǎng)站上試用軟件時(shí)，發(fā)現(xiàn)該站上大部分軟件均被捆綁了木馬。綁馬的軟件下載地址包括：hxxp://www.XXX.com/cd/1.asp中的大部分軟件。

筆者下載“EMoney2.0_SetupMin.exe”和“EMoney2.5_Setup.exe”（hxxp://compute.XXXcom.cn/ficsoft/EMoney2.0_SetupMin.exe）這兩個(gè)軟件掃描后，殺毒軟件開始報(bào)警，EMoney2.0_SetupMin如圖1所示。

圖1

在51CTO編輯發(fā)稿后，該站點(diǎn)迅速修復(fù)了帶病毒的軟件。

據(jù)國內(nèi)某安全公司員工研究發(fā)現(xiàn)，該病毒應(yīng)該是傳說中的：白蟻　
病毒英文名：Win32/Parite
病毒類型：文件型
影響平臺(tái)：Win9X/2000/XP/NT/Me
感染對象：所有的.exe及.scr格式文件
描述：Win32/Parite的病毒程序用C++編寫，組成的組件是由匯編程序編寫的。

病毒原理：

1. 生成病毒文件 2. 篡改系統(tǒng)注冊表 3.感染所有硬盤的EXE及SCR文件 4. 通過網(wǎng)絡(luò)共享傳播

傳播過程及特征：

1.感染的文件運(yùn)行后，直接控制病毒生成文件使其將病毒文件寫為臨時(shí)文件并執(zhí)行它的感染程序。
2.在邏輯硬盤和局域網(wǎng)里的共享目錄里搜索所有.scr和.exe類型的Win32 PE格式文件進(jìn)行感染。
3.它不能表明自身的存在方式。

感染形式：

Win32/Parite是一種具有多個(gè)變種的病毒，它感染本地及共享網(wǎng)絡(luò)上的Windows可執(zhí)行文件。
第一次運(yùn)行時(shí)，病毒會(huì)創(chuàng)建一個(gè)臨時(shí)文件，而文件名則是隨機(jī)的，比如：C:\WINDOWS\TEMP\pgt91F0.TMP
這是一個(gè)動(dòng)態(tài)鏈接庫文件，它包含了病毒的主要功能。而病毒會(huì)把本地的動(dòng)態(tài)鏈接庫文件貯存在注冊表中：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF，運(yùn)行時(shí)，病毒會(huì)附加在Explorer.exe文件上以便駐留內(nèi)存。病毒會(huì)感染本地及它可以訪問的網(wǎng)絡(luò)驅(qū)動(dòng)器上的*.EXE 和 *.SCR文件。

清除方法：

直接格式化C盤是無濟(jì)于事的，因?yàn)檫@個(gè)病毒會(huì)感染別的盤符下所有exe文件，所以首先要保證所有盤中的病毒都清除干凈！建議下載專殺工具進(jìn)行查殺。

防毒建議：

現(xiàn)在有很多病毒都會(huì)感染EXE文件，如果有些EXE執(zhí)行文件不常用，最好壓縮存放，既減少硬盤使用空間，又可以防止一些感染EXE文件的病毒。

積極防毒建議：

安裝殺毒軟件或其他安全輔助軟件（如360安全衛(wèi)士，超級巡警等等，同時(shí)要開啟實(shí)時(shí)保護(hù)）。

【51CTO.com 獨(dú)家報(bào)道，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

1. eEye工程介紹:漏洞大曝光 編寫引導(dǎo)層RootKit
2. 構(gòu)建安全服務(wù)器環(huán)境阻止黑客攻擊
3. 黑帽大會(huì)：牽系著互聯(lián)網(wǎng)安全的神經(jīng)
4. 詳解IE8新增安全功能