Worm.Delf.dy
基本信息
病毒名称:Worm.Delf.dy(瑞星)
病毒别名:Worm.MYGOD.a.30001(毒霸)
Worm.Win32.Delf.bg(Kaspersky)
病毒大小:18,432 字节(30,001 字节)
加壳方式:PE_Patch.UPX UPX
样本MD5:c773bd861b2c32d88da59cc3f6c4a604(00ea5b91a6166c096a1d7e5816183eab)
样本SHA1:58c26dd583e3c70f5fde5d7892bedd9684d705b5(5ec2b00e7cec6edc34e6b2747b732fe02aa16954)
发现时间:2007.2
更新时间:2007.2.7
关联病毒:
传播方式:恶意网页、其它病毒下载,感染exe文件,可通过移动存储设备(U盘等)传播
技术分析
==========
病毒运行后释放自身副本到系统system目录:
%Windows%\\system\\internat.exe
并运行,加开关参数/sleepdown。
使用批处理{原文件名}.bat删除自身原文件,{原文件名}.bat内容:
向各分区目录复制副本,创建autorun.inf:
X:\\setup.exe
X:\\autorun.inf
autorun.inf内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\\打开(&O)\\command=setup.exe
病毒感染分系统分区下的所有exe文件,使用dir命令收集非系统分区下的所有exe文件列表:
dir *.exe /s /b >%Windows%\\win.log
运行
被感染文件运行后释放病毒体(大小30001字节)到C盘根目录并运行:
C:\\_.de
%Windows%\\system\\internat.exe开关参数/update,尝试访问网络下载其它病毒或恶意程序,保存到以下位置并运行:
%Windows%\\system\\SYSTEM32.vxd(加密文件列表)
%Windows%\\system\\1.exe
%Windows%\\system\\2.exe
%Windows%\\system\\3.exe
%Windows%\\system\\4.exe
%Windows%\\system\\5.exe
%Windows%\\system\\6.exe
%Windows%\\system\\7.exe
%Windows%\\system\\8.exe
%Windows%\\system\\9.exe
%Windows%\\system\\10.exe
%Windows%\\system\\svchost.exe
病毒内发现有如下信息:
MYGOD
this is the Rav get all path administrators
.....................卡巴 我恨你...............
清除步骤
==========
1. 结束病毒进程:
%Windows%\\system\\internat.exe
2. 删除病毒文件:
%Windows%\\system\\internat.exe
3. 通过文件夹树形结构目录进入分区根目录,删除病毒文件:
X:\\setup.exe
X:\\autorun.inf
4. 删除C盘根目录下的病毒文件(可能存在):
C:\\_.de
5. 删除病毒下载的其它病毒或恶意程序(可能存在):
%Windows%\\system\\SYSTEM32.vxd
%Windows%\\system\\1.exe
%Windows%\\system\\2.exe
%Windows%\\system\\3.exe
%Windows%\\system\\4.exe
%Windows%\\system\\5.exe
%Windows%\\system\\6.exe
%Windows%\\system\\7.exe
%Windows%\\system\\8.exe
%Windows%\\system\\9.exe
%Windows%\\system\\10.exe
%Windows%\\system\\svchost.exe
6. 使用反病毒软件进行全盘扫描,清除被感染的exe文件