警惕最新病毒“恶魔”
安天实验室提醒广大用户谨防最新病毒“恶魔”。Virus.Win32.Small.aa。
“恶魔”病毒感染大部分文件格式,包括exe/ini/bat/sys/bin等多种类型的文件。被该病毒感染后,文件图标为恶魔图标。
该病毒的感染方式为捆绑式,加载在正常文件的头部,大小为61026个字节。并把被感染的文件名后添加“.exe”。如:boot.ini文件被感染后的文件名为boot.ini.exe。使原文件不能按原格式正常运行。
Virus.Win32.Devil.a 初步分析
安天CERT
一、 病毒标签:
病毒名称: Virus.Win32.Devil.a
中文名称: 恶魔病毒
病毒类型: 病毒
公开范围: 完全公开
危害等级: 4
文件长度: 397,338字节
感染系统: Windows98以上版本
开发工具: Borland Delphi
加壳类型: UPX变形壳
二、 病毒描述:
该病毒采用Borland Delphi编写,并通过UPX变形壳做加壳处理,病毒运行后在每个驱动器根目录下释放autorun.inf文件,并将病毒自身写入到%System32%目录下
c:\autorun.inf 328字节
%System32%\NetInfo.exe 397,338字节
会病毒运行后会遍历磁盘感染扩展名为.exe、.bin、.sys、.ini、.bat、.txt、.zip、.gif等多种格式的文件,受系统保护的文件不感染,也不感染系统文件夹下的文件,感染采用捆绑的方式,在头部添加61026个字节,将病毒和宿主文件捆绑在一起,形成新的病毒体,病毒会在宿主文件的的后面添加扩展名.EXE
如下图:
感染前:
感染后:
病毒运行后会弹出一个游戏对话框。
感染此病毒的计算机在Windows2000、WindowsXP、Windows2003系统下,会无法注销、重启、关机。
而且在Windows2000系统下,用户强行重启系统时会出现无法启动的情况,如下图:
在WindowsXP、Windows2003系统下,可以启动,但是会有提示出现,如下图:
另外,在各个硬盘跟目录下释放的autorun.inf 文件是病毒主体的伴生文件,该文件内容如下:
[AutoRun]
Open=/RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}/GUESSNUM.EXE
shell\open\Command=/RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}/GUESSNUM.EXE
shell\explore\Command=/RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}/GUESSNUM.EXE
shell\find\Command=/RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}/GUESSNUM.EXE
这样,该病毒就可以利用Windows系统的自动播放功能借助与U盘来传播,当用户在不知情的情况下,双击已感染该病毒的U盘时,就会将病毒传播到新的系统中。
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
原文地址,安天实验室安全响应:
安天CERT忠告广大用户:
1.及时下载并安装系统补丁。
2.不要轻易点击即时聊天工具和论坛中的不明链接,不要执行可信度不高的程序。
3.使用安天木马防线2005+,并及时升级,为您的系统提供透明的保护。
