worm.delf.bg

病毒簡介

樣本MD5：c773bd861b2c32d88da59cc3f6c4a604（00ea5b91a6166c096a1d7e5816183eab）

樣本SHA1：58c26dd583e3c70f5fde5d7892bedd9684d705b5（5ec2b00e7cec6edc34e6b2747b732fe02aa16954）

關聯病毒：

傳播方式：惡意網頁、其它病毒下載，感染exe檔案，可通過移動存儲設備（隨身碟等）傳播

==========

病毒運行後釋放自身副本到系統system目錄：

%Windows%\system\internat.exe

並運行，加開關參數/sleepdown。

使用批處理{原檔案名稱}.bat刪除自身原檔案，{原檔案名稱}.bat內容：

[Copy to clipboard]

CODE:

:try

del "exe"

if exist "exe" goto try

del %0

向各分區目錄複製副本，創建autorun.inf：

X:\setup.exe

X:\autorun.inf

autorun.inf內容：

[Copy to clipboard]

CODE:

[AutoRun]

OPEN=setup.exe

shellexecute=setup.exe

shell\打開(&O)\command=setup.exe

病毒感染分系統分區下的所有exe檔案，使用dir命令收集非系統分區下的所有exe檔案列表：

[Copy to clipboard]

CODE:

dir *.exe /s /b＞%Windows%\win.log

被感染檔案運行後釋放病毒體（大小30001位元組）到C糟根目錄並運行：

C:\_.de

%Windows%\system\internat.exe開關參數/update，嘗試訪問網路下載其它病毒或惡意程式，保存到以下位置並運行：

%Windows%\system\SYSTEM32.vxd（加密檔案列表）

%Windows%\system\1.exe

%Windows%\system\2.exe

%Windows%\system\3.exe