趋势磁碟机病毒简报(有点老了，不过也是内部原版的)

[b][font=宋体][size=5]磁碟机病毒简报[size=15pt][/size]
[/size][/font][font=Times New Roman]2008/3/25 Peter, AVR[/font][/b]
[b][font=Times New Roman]Modified By Nick[/font][/b]
[b][font=Times New Roman][/font][/b]
[b][font=宋体]趋势病毒名称：[/font][/b][font=Times New Roman]PE_PAGIPEF.*-O ([/font][font=宋体]中文名称[/font][font=Times New Roman]:[/font][font=宋体]磁碟机病毒[/font][font=Times New Roman])[/font]
[b][font=宋体]文件名称：[/font][/b][font=Times New Roman]pagefile.pif[/font]
[b][font=宋体]文件大小：[/font][/b]
[b][font=宋体]文件[/font][font=Times New Roman]MD5[/font][/b][b][font=宋体]值：[/font][/b]
[b][font=宋体]病毒简要描述：[/font][font=Times New Roman]([/font][/b][b][font=宋体]我想了解这个病毒是怎么回事[/font][font=Times New Roman]?) [/font][/b]
[font=Times New Roman][/font]
[font=宋体]该病毒为文件感染型病毒[/font][font=Times New Roman],
[/font][font=宋体]它会感染除系统盘[/font][font=Times New Roman]([/font][font=宋体]一般为[/font][font=Times New Roman]C:\[/font][font=宋体]盘[/font][font=Times New Roman])[/font][font=宋体]外的[/font][font=Times New Roman]exe[/font][font=宋体]可执行文件和网页文件，并且还感染[/font][font=Times New Roman]RAR[/font][font=宋体]、[/font][font=Times New Roman]zip[/font][font=宋体]压缩包内的[/font][font=Times New Roman]exe[/font][font=宋体]及网页文件[/font][font=Times New Roman].([/font][font=宋体]由于早期被病毒感染后的文件会变成磁碟机图标[/font][font=Times New Roman],[/font][font=宋体]故得名[/font][font=Times New Roman]).[/font]
[font=Times New Roman][/font]
[font=Times New Roman]     [/font][font=宋体]该病毒具有[/font][font=Times New Roman]U[/font][font=宋体]盘病毒的特性[/font][font=Times New Roman].[/font][font=宋体]会在移动存储设备中生成生成[/font][font=Times New Roman]pagefile.pif[/font][font=宋体]、[/font][font=Times New Roman]pagefile.exe[/font][font=宋体]和[/font][font=Times New Roman]Autorun.inf,[/font][font=宋体]并开启磁盘自动播放功能[/font]
[font=Times New Roman][/font]
[font=宋体]该病毒还尝试从[/font][font=Times New Roman]internet[/font][font=宋体]下载其他恶意代码。[/font]
[font=Times New Roman]    [/font]
[font=宋体]该病毒携带有很暴力的反杀毒软件功能组件[/font][font=Times New Roman],[/font][font=宋体]会关闭和破坏安全防护软件[/font][font=Times New Roman],[/font][font=宋体]包括破坏系统的安全模式和其他一些暴力的[/font][font=Times New Roman]anti-antivirus [/font][font=宋体]手段[/font][font=Times New Roman].[/font]
[font=Times New Roman][/font]
[b][font=宋体]病毒传播途径[/font][font=Times New Roman]: ([/font][/b][b][font=宋体]我该怎么切断传播途径[/font][font=Times New Roman])[/font][/b][b][font=宋体]：[/font][/b]
[b][font=宋体]文件感染[/font][font=Times New Roman], [/font][/b][font=宋体]移动存储设备，[/font][font=Times New Roman]ARP[/font][font=宋体]攻击，网页挂马[/font]
[b][font=Times New Roman][/font][/b]
[b][font=宋体]趋势科技的解决方案[/font][font=Times New Roman]: ([/font][/b][b][font=宋体]趋势科技有什么招[/font][font=Times New Roman]?):[/font][/b]
[b][font=Times New Roman][/font][/b]
[font=宋体]目前[/font][font=Times New Roman],[/font][font=宋体]趋势科技对磁碟机家族的检测名为[/font][font=Times New Roman]PE_PAGIPEF.[/font]
[font=宋体]病毒母体被检测为[/font][font=Times New Roman]:
PE_PAGIPEF.*-O[/font][font=宋体]，其中[/font][font=Times New Roman]*[/font][font=宋体]为病毒变种名[/font][font=Times New Roman].[/font]
[font=宋体]被感染的[/font][font=Times New Roman]exe[/font][font=宋体]文件被检测为[/font][font=Times New Roman]:
PE_PAGIPEF.*[/font]
[font=宋体]被感染的网页文件被检测为[/font][font=Times New Roman]:
HTML_AGENT.* ([/font][font=宋体]非磁碟机特有检测名[/font][font=Times New Roman])[/font]
[font=Times New Roman][/font]
[font=宋体]趋势科技还针对该病毒家族的特性[/font][font=Times New Roman],[/font][font=宋体]开发了智能检测方案[/font][font=Times New Roman].[/font]
[font=Times New Roman][/font]
[font=Times New Roman]POSSIBLE_PAGI:[/font]
[color=black][url=http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=POSSIBLE_PAGI][font=Times New Roman][color=#0000ff]http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=POSSIBLE_PAGI[/color][/font][/url][/color]
[size=10.5pt][font=Times New Roman][/font][/size]
[font=宋体][size=10.5pt]中国区病毒码特有的智能检测[/size][/font][size=10.5pt][font=Times New Roman]:[/font][/size]
[font=宋体, MS Song]PE_DISKGEN.A-O [/font]
[font=宋体, MS Song]POSSIBLE_DISKGEN [/font]
[font=宋体, MS Song][/font]
[font=宋体]请及时更新您的防毒软件的病毒码特征库[/font][font=宋体, MS Song].[/font]
[font=宋体]目前[/font][font=Times New Roman],[/font][font=宋体]针对该病毒的整体解决方案正在研究和制作当中[/font][font=Times New Roman].[/font]
[font=Times New Roman]===========[b] Reference[/b]=============================================[/font]
[font=Times New Roman][/font]
[b][font=宋体]中毒特征：[/font][font=Times New Roman]([/font][/b][b][font=宋体]我中毒了么[/font][font=Times New Roman]?)[/font][/b]
[font=Times New Roman]1. [/font][font=宋体]绝大部分杀毒软件、安全工具不能运行[/font]
[font=Times New Roman]2. [/font][font=宋体]移动存储设备中生成生成[/font][font=Times New Roman]pagefile.pif[/font][font=宋体]、[/font][font=Times New Roman]pagefile.exe[/font][font=宋体]和[/font][font=Times New Roman]Autorun.inf,[/font][font=宋体]并开启磁盘自动播放功能[/font]
[font=Times New Roman][b]3.[/b]
[/font][font=宋体]生成如下病毒组件[/font]
[font=Times New Roman]%systemdrive%\037589.log[/font]
[font=Times New Roman]
%windir%\system32\dnsq.dll[/font]
[font=Times New Roman]
%windir%\system32\Com\smss.exe[/font]
[font=Times New Roman]
%windir%\system32\Com\lsass.exe[/font]
[font=Times New Roman]
%windir%\system32\Com\netcfg.000[/font]
[font=Times New Roman]
%windir%\system32\Com\netcfg.dll[/font]
[font=Times New Roman]
%windir%\system32\[/font][font=宋体]随机数字串[/font][font=Times New Roman].log[/font]
[font=Times New Roman][/font]
[font=Times New Roman]4. [/font][font=宋体]进程中多了[/font][font=Times New Roman]2[/font][font=宋体]个病毒进程[/font][font=Times New Roman],[/font][font=宋体]即名称为[/font][font=Times New Roman]lsass.exe[/font][font=宋体]和[/font][font=Times New Roman]smss.exe[/font][font=宋体]且非[/font][font=Times New Roman]SYSTEM[/font][font=宋体]属性的进程，如图所示 [/font]
[font=Times New Roman][/font]
[font=宋体]注[/font][font=Times New Roman];[/font][font=宋体][size=10pt] SYSTEM[/size][/font][font=宋体][size=10pt]属性的lsass.exe和sms.exe为正常系统进程[/size][/font]
[img]http://www.kafan.cn/bbs/images/default3/attachimg.gif[/img] [img]http://www.kafan.cn/bbs/attachments/month_0805/20080527_0c28544f609e9984bef4hYwoNMnWFO5w.jpg[/img]

4.
感染exe文件图标变模糊不清。网页文件被插入恶意代码。且压缩包中的exe文件和网页文件也被感染。
5.
联网下载木马。

路过 顶 谢谢共享:) :) :) :) :)