Образовательно-информационный центр СевКавГТУ
Новости Техническия поддержка Наши работы и клиенты Ресурсы сети Контактная информация

Почта

E-mail:
Пароль:
 
Главная / Win32.Parite.2
Версия для печати

Win32.Parite.2

Добавлен в вирусную базу Dr.Web:

08.12.2002, 12:00 MSK - дополнение к вирусной базе версии 4.29

Другие названия:

W32/Pate.b, W32.Pinfi, PE_PARITE.A, W32/Parite-B, W32/Pate-B, W95/Parite.B, Win32.Parite.b, W32/Parite.B, W32/Parite.B, W32/Pate.b.tmp

Тип:

сетевой червь

Уязвимые операционные системы:

Windows 95/98/Me/NT/2000/XP

Признаки инфицирования:

  • наличие во временной директории Windows исполняемого файла с расширением .tmp и названием, состоящим из набора буквенных и цифровых символов
  • наличие в реестре следующего ключа
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF

Описание вируса:

Win32.Parite.2 - полиморфный вирус, поражающий компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Основной исполняемый компонент вируса написан на языке программирования Borland C++ и упакован упаковщиком UPX. Размер червя 176128 байт.

Вирус обладает способностью распространяться по доступным для совместного пользования дискам локальной сети.
Заражает файлы с расширениями .exe и .scr как на пораженном компьютере, так и в рамках локальной сети, дописывая к ним свой код и увеличивая, таким образом, их размер на 176128 байт.

Инфицирование системы:

Будучи запущенным на пораженном компьютере, вирус помещает во временную директорию Windows файл-библиотеку динамической компоновки со случайным названием, состоящим из набора буквенных символов и шестнадцатеричных цифр и расширением .tmp. Именно этот файл и содержит основные функцие, используемые червем.

Для обозначения своего присутствия в системе с целью избежать повторного инфицирования вирус создает семафор "RESIDENTED".

В системном реестре Windows червь вносит данные
PINF
в реестровую запись
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\

Процесс инфицирования файлов начинается с создания дополнительной секции в конце файла с последующей записью в эту секцию вирусного кода, в результате чего размер файл увеличивается на 176128 байт.

Червь инфицирует исполняемые файлы на зараженной машине, а также распространяется по всем доступным для совместного использования сетевым ресурсам, доступным для записи. В результате на таких ресурсах за короткое время могут быть заражены практически все исполняемые файлы.

Процедура лечения

Внимание! после лечения могут оказаться испорчены *.exe файлы на инфицированном компьютере.
Это связано с тем, что в некоторых случаях заражённые данным вирусом исполняемые файлы восстановить в исходном виде практически невозможно любым антивирусом. Соответственно, приложения, содержащие в себе контроль целостности своих исполняемых файлов, перестают запускаться.

  1. Закройте общий доступ к ресурсам на зараженной машине, и отключите все сетевые диски.
  2. Загрузитесь в безопасном режиме(safe mode).
  3. В реестре HKEY_CURRENT_USER/Software/Microsoft/Windows/Explorer Удалите в левом окне параметр PINF.
  4. Во временной паке, например C:\Documents and Settings\***USER***\Local Settings\Temp удалите все файлы.
  5. Запустите Dr.Web. (вирус заражает файлы *.exe, *.tmp, *.scr)

Статья составлена по материалам сайта www.dialognauka.ru
 

© 2003-2010 Образовательно-информационный центр
Северо-Кавказского государственного технического университета
Rambler's Top100 Rambler's Top100
Написать письмо Главная