This malware is the dropped DLL file of PE_PARITE.A. It infects all *.EXE and *.SCR files in all local and shared network drives. However, it does not execute on its own and needs to be invoked by another application. Win32/Parite.b的病毒程序用C++编写,组成的组件是由汇编程序编写的,感染的文件运行后,直接控制病毒生成文件使其将病毒文件写为临时文件并执行它的感染程序,并在逻辑硬盘和局域网里的共享目录里搜索所有.scr和.exe类型的Win32 PE格式文件进行感染。Win32.Pinfi是一种具有多个变种的病毒,它感染本地及共享网络上的Windows可执行文件。
第一次运行时,病毒会创建一个临时文件,而文件名则是随机的,文件名具有如下特征
3个随机字母+4个随机数字+.tmp,比如: C:/WINDOWS/TEMP/epe71F0.TMP
这是一个动态链接库文件,它包含了病毒的主要功能。而病毒会把本地的动态链接库文件贮存在注册表中:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/PINF
运行时,病毒会附加在Explorer.exe文件上以便驻留内存。
病毒会感染本地及其它可以访问的网络驱动器上的*.EXE和*.SCR文件。
直接格式化C盘是无济于事的,因为这个病毒会感染别的盘符下所有exe文件,所以首先要保证所有盘中的病毒都清除干净!
