該病毒被激活後,會象“子母彈”一樣,分裂出多種類型的病毒來分別攻擊並感染計算機內不同類型的檔案。該病毒分裂時,會在C糟根目錄下產生出幾個具有獨立傳染能力和傳染各不相同檔案性質的子病毒。它們的名字是:DEMIURG.EXE、DEMIURG.SYS、DEMIURG.XLS和EXCEL的啟動子目錄內的XLSTART.XLS,這些都是子病毒,分別傳染各自不同的檔案。
基本介紹
- 中文名:子母彈病毒
- 病毒中文名: “子母彈”病毒
- 病毒類型: 檔案型
- 危險級別 :一般
基本信息,描述,解決方案,
基本信息
病毒名稱 Demiurg
病毒中文名 “子母彈”病毒
病毒類型 檔案型
危險級別 一般
影響平台 WIN95,WIN98,WINME,WIN2000,WINNT,WINXP
感染對象 DOS可執行程式、批處理檔案、WINDOWS的可執行程式,而
描述
該病毒感染檔案的類型比較多,它既感染DOS可執行程式、批處理檔案、Windows的可執行程式,而且還感染EXCEL97/2000檔案。
該病毒感染的檔案的具體類型有:DOS下的COM檔案、DOS下的EXE檔案、BAT檔案、XLS檔案以及Windows下的PE格式的執行檔、NE格式的執行檔、核心檔案KERNEL32.DLL檔案。
該病毒感染EXCEL97/2000檔案的長度為16,354位元組,感染WIN_PE檔案的長度為17408位元組, 感染DOS的.COM、.EXE檔案的長度為27552位元組左右。
該病毒在感染KERNEL32.DLL檔案時將\WINDOWS\SYSTEM目錄下的檔案KERNEL32.DLL感染後再拷貝到\WINDOWS目錄下。病毒修改了KERNEL32.DLL檔案中的一些有關的檔案操作的一些函式:包括檔案的建立、讀取檔案屬性、拷貝檔案、移動檔案等操作,具體的相關的函式名稱是:
CreateFileA, CreateFileW, GetFileAttributesA,GetFileAttributesW, SetFileAttributesA, SetFileAttributesW, CopyFileA, CopyFileW, MoveFileExA, MoveF
ileExW等函式。
在被感染的Windows 95/98/Me系統下, Windows的SYSTEM目錄下的原檔案KERNEL32.DLL檔案沒被感染。
在感染病毒後重新啟動計算機後,Windows調用的是Windows目錄下被病毒感染的檔案KERNEL32.DLL檔案。
在Windows 2000系統下,受病毒感染的計算機在重新啟動後,感染病毒的KERNEL32.DLL檔案從WINDOWS目錄下被拷貝到WINDOWS的SYSTEM目錄下,原來的KERNEL32.DLL的檔案被覆蓋了。
而在Windows NT環境下,受病毒感染的計算機將不能正常啟動了。
病毒還感染Windows目錄下的其它檔案。
該病毒感染EXCEL文檔的過程是將一個受感染的檔案放在EXCEL的啟動子目錄XLSTART目錄下,同時在系統的根目錄下建立一個檔案DEMIURG.SYS,每次EXCEL啟動時,EXCEL會自動調用\XLSTART子目錄下的受病毒感染的檔案,進而感染別的EXCEL檔案。
該病毒感染批處理檔案BAT檔案時,在該檔案的尾部增加一些代碼以及病毒代碼本身。當運行這些受病毒感染的批處理檔案時,這些增加在檔案尾部的代碼可以產生一個名稱為DEMIURG.EXE檔案,當運行這個程式後,批處理檔案就作為一個參數被執行,結果它就建立一個Windows應用程式:DEMIURG.EXE。
當該病毒感染DOS下的EXE檔案及WINDOWS 16位系統下的EXE檔案時,將全部病毒代碼拷貝到受感染的檔案的尾部。當執行被病毒感染的檔案,病毒就會建立另外一個含有病毒體的WIN_PE檔案DEMIURG.EXE,而且能執行這個新建立的檔案。
病毒感染COM檔案是通過將COM檔案轉換成EXE檔案來傳染的。和以上講的EXE檔案的傳染方式一致。
當感染Windows的PE格式的檔案時,將病毒代碼本身拷貝到被感染的程式的最後一個段中,並將程式開始的入口地址直接指向病毒體。當執行受感染的檔案時,首先將被執行的是病毒體本身。
該病毒不感染WORD檔案。感染該病毒的計算機不能自動通過網路傳播,該病毒不具備網路蠕蟲的特性。