病毒名称:Worm.Win32.Delf.bg(Kaspersky)
病毒别名:Worm.MYGOD.a.30001(毒霸)
Worm.Delf.dy(瑞星)
病毒大小:18,432 字节(30,001 字节)
加壳方式:PE_Patch.UPX UPX
样本MD5:c773bd861b2c32d88da59cc3f6c4a604(00ea5b91a6166c096a1d7e5816183eab)
样本SHA1:58c26dd583e3c70f5fde5d7892bedd9684d705b5(5ec2b00e7cec6edc34e6b2747b732fe02aa16954)
发现时间:2007.2
更新时间:2007.2.7
关联病毒:
传播方式:恶意网页、其它病毒下载,感染exe文件,可通过移动存储设备(U盘等)传播
技术分析
==========
病毒运行后释放自身副本到系统system目录:
%Windows%systeminternat.exe
并运行,加开关参数/sleepdown。
使用批处理{原文件名}.bat删除自身原文件,{原文件名}.bat内容:
[Copy to clipboard]
CODE:
:try
del "exe"
if exist "exe" goto try
del %0
向各分区目录复制副本,创建autorun.inf:
X:setup.exe
X:autorun.inf
autorun.inf内容:
[Copy to clipboard]
CODE:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell打开(&O)command=setup.exe
病毒感染分系统分区下的所有exe文件,使用dir命令收集非系统分区下的所有exe文件列表:
[Copy to clipboard]
CODE:
dir *.exe /s /b >%Windows%win.log
被感染文件运行后释放病毒体(大小30001字节)到C盘根目录并运行:
C:\_.de
%Windows%systeminternat.exe开关参数/update,尝试访问网络下载其它病毒或恶意程序,保存到以下位置并运行:
%Windows%systemSYSTEM32.vxd(加密文件列表)
%Windows%system1.exe
%Windows%system2.exe
%Windows%system3.exe
%Windows%system4.exe
%Windows%system5.exe
%Windows%system6.exe
%Windows%system7.exe
%Windows%system8.exe
%Windows%system9.exe
%Windows%system10.exe
%Windows%systemsvchost.exe
病毒内发现有如下信息:
[Copy to clipboard]
CODE:
MYGOD
this is the Rav get all path administrators
.....................卡巴 我恨你...............
清除步骤
==========
1. 结束病毒进程:
%Windows%systeminternat.exe
2. 删除病毒文件:
%Windows%systeminternat.exe
3. 通过文件夹树形结构目录进入分区根目录,删除病毒文件:
X:setup.exe
X:autorun.inf
4. 删除C盘根目录下的病毒文件(可能存在):
C:\_.de
5. 删除病毒下载的其它病毒或恶意程序(可能存在):
%Windows%systemSYSTEM32.vxd
%Windows%system1.exe
%Windows%system2.exe
%Windows%system3.exe
%Windows%system4.exe
%Windows%system5.exe
%Windows%system6.exe
%Windows%system7.exe
%Windows%system8.exe
%Windows%system9.exe
%Windows%system10.exe
%Windows%systemsvchost.exe
6. 使用反病毒软件进行全盘扫描,清除被感染的exe文件
专杀软件
==========
1)奇诺专杀
Anti-Virus Tools 2007 (多语言版) Version: 2.1.5 - 070410.2
下载地址:http://www.chenoe.com/downloads.asp?file=AntiVirus.rar
软件介绍:http://www.chenoe.com/AntiVirus/
可以清除内存中的病毒,但是对文件解毒效果不是太好
2)农夫专杀
&软件介绍:http://hi.baidu.com/walker05/blog/item/27ca2cb33f01a7a7d9335aa5.html
可以清除病毒,但是对文件解毒效果不是太好,虽然能解除病毒,但是对压缩式安装包文件,以及自解压文件还有电子书等清除不彻底,其文件被彻底破坏
3)江民杀毒软件kv2006、kv2007
下载地址:www.jiangmin.com.cn
可以彻底清除病毒,解毒效果也不错