“惡魔”病毒感染大部分檔案格式,包括exe/ini/bat/sys/bin等多種類型的檔案。被該病毒感染後,檔案圖示為惡魔圖示。
該病毒的感染方式為捆綁式,載入在正常檔案的頭部,大小為61026個位元組。並把被感染的檔案名稱後添加“.exe”。如:boot.ini檔案被感染後的檔案名稱為boot.ini.exe。使原檔案不能按原格式正常運行。
基本介紹
- 中文名:Virus.Win32.Devil.a
- 公開範圍:完全公開
- 檔案長度:397,338位元組
- 開發工具:Borland Delphi
- 感染系統:Windows98以上版本
- 感染方式:捆綁式
基本信息,傳播過程,
基本信息
警惕最新病毒“惡魔” 字串7
安天實驗室提醒廣大用戶謹防最新病毒“惡魔”。Virus.Win32.Small.aa。
Virus.Win32.Devil.a
字串8
Virus.Win32.Devil.a 初步分析 字串5
傳播過程
一、 病毒標籤: 字串7
感染系統: Windows98以上版本
開發工具: Borland Delphi
加殼類型: UPX變形殼
字串1
二、 病毒描述: 字串8
該病毒採用Borland Delphi編寫,並通過UPX變形殼做加.殼處理,病毒運行後在每個驅動器根目錄下釋放autorun.inf檔案,並將病毒自身寫入到%System32%目錄下 字串1
c:\autorun.inf 328位元組
%System32%\NetInfo.exe 397,338位元組
字串1
會病毒運行後會遍歷磁碟感染擴展名為.exe、.bin、.sys、.ini、.bat、.txt、.zip、.gif等多種格式的檔案,受系統保護的檔案不感染,也不感染系統資料夾下的檔案,感染採用捆綁的方式,在頭部添加61026個位元組,將病毒和宿主文.件捆綁在一起,形成新的病毒體,病毒會在宿主檔案的的後面添加擴展名.EXE 字串5
如下:
感染前:
字串3
感染後:
字串4
病毒運行後會彈出一個遊戲對話框。
感染此病毒的計算機在Windows2000、WindowsXP、Windows2003系統下,會無法註銷、重啟、關機。 字串5
而且在Windows2000系統下,用戶強行重啟系統時會出現.無法啟動的情況
在WindowsXP、Windows2003系統下,可以啟動,但是會有提示出現
字串6
另外,在各個硬碟跟目錄下釋放的autorun.inf 檔案是病毒主體的伴生檔案,該檔案內容如下:
字串9
[AutoRun] 字串7
Open=/RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}/GUESSNUM.EXE
字串1
shell\open\Command=/RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}/GUESSNUM.EXE 字串4
shell\explore\Command=/RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}/GUESSNUM.EXE
字串3
shell\find\Command=/RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}/GUESSNUM.EXE
字串9
這樣,該病毒就可以利用Windows系統的自.動播放功能藉助與隨身碟來傳播,當用戶在不知情的情況下,雙擊已感染該病毒的隨身碟時,就會將病毒傳播到新的系統中。 字串3
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 當前用戶TEMP快取變數
%Windir%\ WINDODWS所在目錄
%DriveLetter%\ 邏輯驅動器根目錄
%ProgramFiles%\ 系統程式默認安裝目錄
%HomeDrive% = C:\ 當前啟動的系統的所在分區
%Documents and Settings%\ 當前用.戶文檔根目錄 字串4
字串6
原文地址,安天實驗室安全回響:
字串5
安天CERT忠告.廣大用戶:
1.及時下載並安裝系統補丁。
2.不要輕易點擊即時聊天工具和論壇中的不明連結,不要執行可信度不高的程式。
3.使用安天木馬防線2005+,並及時升級,為您的系統提供透明的保護。
