Pif 可以用来指向一个dos程序,也就是dos程序的快捷方式,比如可以连到一个病毒或者木马.

它自己也可能就是一个蠕虫,让我们深入的研究一下...
[你要会点 DOS 下的 batch 语言(批处理文件) 和 知道怎样使用 Debug]
这里有下面提到的几个pif病毒文件,点击这里下载.在这察看源代码!

Pif不可以在Win9x下编辑;要生成一个Pif文件,只要右击鼠标,指向"新建"->"快捷方式"
.
会跳出一个窗口,我们在命令行输入 C:command.com .然后为我们的蠕虫起一个"wormtest" 的名字,然后回车,OK!
(你也可以使用一个存在的pif文件)
右击 pif 文件,选择"属性"接着点击程序.这就是控制 pif 文件的主要场所了.在我们接着学之前,让我们看看我的Pif 蠕虫中的几个命令...
例子:
IRC-WORM Elsa:
C:COMMAND.COM /C copy C:mircdownloadcuteELSA.JPG.pif C:mircscript.ini /Y
C:MIRC

IRC-WORM Elsa.b:
C:COMMAND.COM /C copy C:mircdownloadEmmaPeel.HTML.pif C:mircscript.ini
/
C:MIRC
IRC-Worm.Movie.c:
%comspec% /c copy c:mircdownloadX_PASS.TXT.pif %windir%winstart.bat
C:
IBLIS_FinalVersion:
-------------------
%comspec% /c copy IBLIS_~1.pif ..script.ini /Y
留个空白
现在,我想你已经大概明白是怎么回事了..
让我们回到我们的 wormtest.pif 文件...
先为你的蠕虫起一个好听的名字.比如: nude.jpg.pif .你只要把你的pif文件改名为nude.jpg .
而且pif文件的后缀名一直是可视的,酷啊!(来个sex.jpg , sexwww.txt .来整整那些色狼)
让我们到pif文件属性中的程序中来...
a- 命令行 :
-----------------
Pif最好的功能之一就是命令行.虽然命令的长度受到了限制,但是我们仍然能做些有趣的事......
但是重要的一条是,蠕虫文件已经存在于电脑的某个地方了,mIRC 和 Windows的目录都是我们的主要攻击对象...
你只能用command.com这个文件来完成我们的作品,你只要看看上面的四条命令,就会理解了,当然最后一个也是最好的一个,因为即使不是 C:mirc 目录,它也能把脚本拷过去,而且它也是最小的一个 :) .如果你要把 pif 文件拷成mIRC的脚本文件,那么你就要编辑它,加入一些脚本命令;如果你把pif拷贝到winstart.bat,那么就需要一些dos命令...
只要仔细看看上面下载的4个pif文件,你就会明白是什么原理了...
b- 工作目录 :
-----------------
最好的方法就是留下空白 ... ;)
c- 运行 :
-----------------
在这,你必须要选择一项,蠕虫运行的时候,就会跳出一个窗口,不用担心 :)
d- 改变图标 :
-----------------
这是一个非常好的功能,我建议你选择一个大家熟悉的windows下程序的图标,比如画图,记事本...
通过这些属性,我们就可以把一个没用的快捷方式改造成一个非常好的蠕虫程序 :)
最后的工作就是编辑 pif 文件,加入一些脚本或者 dos 命令.打开和编辑pif文件,要通过dos下的 edit 来完成.你可以在蠕虫中加入一些命令,当把script.ini文件拷到 mIRC 的目录下的时候.mIRC.exe 就会加载它,并且运行指令.
bat文件的原理也是一样的.
注意要点:
-------------
* 在windows启动时自动运行.
* 保存一个备份文件(不是蠕虫的主程序,否则可以轻易的删除掉).
* 要隐藏的很好,不能被发现
* 目标是 Mirc & Pirch

那么你是怎样通过pif文件来远程安装木马和传播病毒的呢?
其实这很简单,你只要做一个像下面这样的 pif 命令行 :
%comspec% /c copy sexbmp~1.pif %windir%winstart.bat
C:
把 pif 的文件名改成 sex.bmp, 编辑它.把你的病毒或者木马转换成 Debug 脚本.
Pif 文件将会把自己拷贝成 winstart.bat 在 %windir% 的目录中,下面就简单了...
你还要加入一些 debug 脚本到 winstart.bat 中,和其它的一些功能.(如让 windows 启
动时自动运行).

注意要点:
------------
- 首先,把你的病毒或者木马转换成 debug 脚本
- 把 debug 放到 winstart.bat 文件中
- .bat文件中包含了 debug 脚本
- 接着,他就会运行 Debug 通过 debug 脚本来生成 exe 文件
- 最后,运行 exe 文件,或者修改注册表来运行它.

总结:千面杀手杀手的木马应该是保存在pif文件中的,它应该是由作者自己写的,应为debug脚本是越小越好.所以普通杀毒软件应该能够应付.至于传播可能使用了泡沫男孩和美丽沙的传染方式,通过e-mail传播,也可能使用了最新的微软的Outlook 的漏洞. 总之,大家不要闻毒丧胆.病毒只是一个优秀的小程序.