【51CTO.com 獨家報道】筆者昨日在國內某知名金融網站上試用軟件時，發(fā)現(xiàn)該站上大部分軟件均被捆綁了木馬。綁馬的軟件下載地址包括：hxxp://www.XXX.com/cd/1.asp中的大部分軟件。

筆者下載“EMoney2.0_SetupMin.exe”和“EMoney2.5_Setup.exe”（hxxp://compute.XXXcom.cn/ficsoft/EMoney2.0_SetupMin.exe）這兩個軟件掃描后，殺毒軟件開始報警，EMoney2.0_SetupMin如圖1所示。

圖1

在51CTO編輯發(fā)稿后，該站點迅速修復了帶病毒的軟件。

據(jù)國內某安全公司員工研究發(fā)現(xiàn)，該病毒應該是傳說中的：白蟻　
病毒英文名：Win32/Parite
病毒類型：文件型
影響平臺：Win9X/2000/XP/NT/Me
感染對象：所有的.exe及.scr格式文件
描述：Win32/Parite的病毒程序用C++編寫，組成的組件是由匯編程序編寫的。

病毒原理：

1. 生成病毒文件 2. 篡改系統(tǒng)注冊表 3.感染所有硬盤的EXE及SCR文件 4. 通過網絡共享傳播

傳播過程及特征：

1.感染的文件運行后，直接控制病毒生成文件使其將病毒文件寫為臨時文件并執(zhí)行它的感染程序。
2.在邏輯硬盤和局域網里的共享目錄里搜索所有.scr和.exe類型的Win32 PE格式文件進行感染。
3.它不能表明自身的存在方式。

感染形式：

Win32/Parite是一種具有多個變種的病毒，它感染本地及共享網絡上的Windows可執(zhí)行文件。
第一次運行時，病毒會創(chuàng)建一個臨時文件，而文件名則是隨機的，比如：C:\WINDOWS\TEMP\pgt91F0.TMP
這是一個動態(tài)鏈接庫文件，它包含了病毒的主要功能。而病毒會把本地的動態(tài)鏈接庫文件貯存在注冊表中：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF，運行時，病毒會附加在Explorer.exe文件上以便駐留內存。病毒會感染本地及它可以訪問的網絡驅動器上的*.EXE 和 *.SCR文件。

清除方法：

直接格式化C盤是無濟于事的，因為這個病毒會感染別的盤符下所有exe文件，所以首先要保證所有盤中的病毒都清除干凈！建議下載專殺工具進行查殺。

防毒建議：

現(xiàn)在有很多病毒都會感染EXE文件，如果有些EXE執(zhí)行文件不常用，最好壓縮存放，既減少硬盤使用空間，又可以防止一些感染EXE文件的病毒。

積極防毒建議：

安裝殺毒軟件或其他安全輔助軟件（如360安全衛(wèi)士，超級巡警等等，同時要開啟實時保護）。

【51CTO.com 獨家報道，轉載請注明出處及作者！】

【編輯推薦】

1. eEye工程介紹:漏洞大曝光 編寫引導層RootKit
2. 構建安全服務器環(huán)境阻止黑客攻擊
3. 黑帽大會：牽系著互聯(lián)網安全的神經
4. 詳解IE8新增安全功能