"恶魔"病毒感染大部分文件格式,包括exe/ini/bat/sys/场提飞识批bin等多种类型的文件。被该病毒感染后,文件图标为恶魔图标。
来自该病毒的感染方式为捆绑式,加载在正常文件·的头部,大小为61026个字节。并把被感染的文件名后添加".exe"。如:boot.ini文件被感染后的文件名为boot.ini.exe。使原文件不能按原格·式正常运行。
- 中文名称 恶魔病毒
- 公开范围 完全公开
- 文件长度 397,338字节
基本信息
警惕最新病毒"恶魔" 字串7
安天实验室提醒广大用户谨防最新病毒"恶魔"。Virus.Win32.Small.aa。
字查冲串8
Viru只乐再杆率声费兵小s.Win32.Devil.a 初步分析 字串5
传播过程
一、 病毒标签: 字串7
感染系统: Windows98以上版本
开发工具: Borland Delphi
加壳类型: UPX变形壳
字串1
二、 病毒描述: 字连作完议打简又亮串8
该病毒采用来自Borland Delphi编写,并通过UPX变形壳做加.壳处理,病毒运行后在每个驱动器根目录下释放autorun.inf文件,并将病毒自身写入到%System32%目录下 字串1
c:\autorun.inf 328字节
%360百科System32%\NetInfo.exe 397,338字节
字串1
会病毒运行后会遍历磁盘感染扩展名为.exe、.bin、.sy爱于停心什角经s、.ini、.bat、.txt、.zip、.gif等多种格式的文件,受系统保护的文件不感染,也不感染系统文件夹下的文件,感染采用捆绑的方式,在头部添加61026个字节,将病毒和宿主文.件捆绑在一起,形成新的病毒体,病毒七秋会在宿主文件的的后面添加扩群编读染半展名.EXE 字串5
如下图:
感染前:
字并执皮位价报式药层波呼串3
感染后:
字串4
病毒运行后会弹出一个游戏对话框。
感染此病毒的计算机在Windows2000、WindowsX船粒跑异养课图兴P、Windows2003系统下,会无法注销、重启、关机。 字串5
而且在Win武春燃压机dows2000系统记止很吧到血影也曾存棉下,用户强行重启系统时会出现.无法启动的情况,如下图:
在WindowsXP、但轴川Windows2003系统距命与似华章品下,可以启动,但印学希是会有提示出现,如下图:
字串6
另外,在各个硬盘跟目录下释放的autorun.inf 文件是病毒主体的伴生文件,该文件内容如下:
字串9
[AutoRun] 字串7
Open=/RECYCLER.{645FF040-5081-101B-9F08-00AA002F半远承每影船此形危黄急954E}/GUESSNUM.EXE
字串1
离简才务百法怎曲 shell\open\Command=/RECYCLER.{645FF040-5081-101B-9F08-00AA002F95侵率战4E}/GUESSNUM.EXE 字串4
shell\ex区同几plore\Comma轴盾八混nd=/RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}/GUESSNUM.EXE
字串3
shell\find\Command=/RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}/GUESSNUM.EXE
字串9
这样,该病毒就可以利用Windows系统的自.动播放功能借助与U盘来传播,当用户在不知情的情况下,双击已感染该病毒的U盘时,就会将病毒传播到新的系统中。 字串3
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用.户文档根目录 字串4
字串6
原文地址,安天实验室安全响应:
字串5
安天CERT忠告.广大用户:
1.及时下载并安装系统补丁。
2.不要轻易点击即时聊天工具和论坛中的不明链接,不要执行可信度不高的程序。
3.使用安天木马防线2005+,并及时升级,为您的系统提供透明的保护。
