PE.parite.d.1436

这是一个由高级语言编写的感染型病毒。它利用感染正常的exe文件来实现传播，如成功运行，则会释放出另一个木马文件。

1.病毒在被感染文件最后节后添加新节，修改被感染文件入口点至新节开始，节名为随机的3个字母。病毒修改了被感染文件的引入表，修改了引入表的前2项。
2.病毒首先解密病毒代码，病毒解密代码部分代码使用了变形技术，这部分代码在每次感染时会变换代码形式，试图躲避杀软查杀。
3.病毒代码首先恢复被修改的引入表项，同时获取病毒需要的API函数。
4.病毒创建注册表键HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer下新值PINF，内容包含病毒将要释放的文件路径。
5.病毒通过保存在病毒内的文件偏移解密其内包含的病毒文件，获取临时目录，释放到临时目录的随机文件名下，并修改上面提到的注册表项保存文件路径。
6.病毒释放的文件通过全局HOOK，通过explorer.exe执行病毒代码。此被释放的病毒为Win32.Parite.c.471040，为木马程序。