病毒名称(中文):
恶魔
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
黑客程序
病毒长度:
204847
影响系统:
Win9xWinNT
病毒行为:
该病毒会将自己复制到系统的多个目录中,它运用了多种常用的方法获得运行权。并在每个可写的逻辑磁盘的根目录生成autorun.inf文件,每
次用户打开逻辑磁盘的时候病毒就静静地自动运行了。病毒还将自己加载到注册表的启动项,每次开机都将运行病毒,它还修改文本文件的关
联程序指向自身,这样用户每次打开文本文件的时候病毒又静静运行起来的。然后他会关闭Windows任务治理器,注册表编辑器,进程查看器
,Excel应用程序,Word应用程序,包含字符串“play”和“.exe”的程序,命令行窗口程序。它将导致用户辛辛劳苦编辑的Word文档,Excel
表格瞬间丢失,用户不能用Windows任务治理器关闭它,用户不能编辑注册表,用户不能打开命令行窗口,还不能运行带有“play”的软件。
1.病毒检查当前目录,假如是根目录,就创建互斥体root,假如互斥体已经存在就退出,否则就创建Explorer进程,打开当前目录;
假如不是根目录,就创建互斥体not_root,假如互斥体已经存在就退出,否则就进行下一步。
2.将自身复制为以下文件(路径是硬编码的,如过不存在就释放不成功):
C:\WINDOWS\view.exe
C:\WINDOWS\system32\winvor.exe
C:\DocumentsandSettings\AllUsers\「开始」菜单\程序\启动\start.pif
并在每个可写的逻辑磁盘的根目录生成以下隐藏文件
system32.exe(该文件是病毒的副本)
autorun.inf
autorun.inf文件的内容为:
[autorun]
open=system32.exe
当用户打开磁盘的时候病毒就自动运行了。
3.修改注册表。
添加启动项:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"RUNEXE"="C:\WINDOWS\view.exe"
修改文本文件关联程序为病毒文件:
HKCR\txtfile\shell\open\command"默认"="C:\WINDOWS\system32\winvor.exe%1"
4.创建一个关机线程,在20分钟将关闭计算机。并创建一个时钟,每隔一秒钟就执行一下操作:
关闭桌面上的特定窗口名字的窗口:
Windows任务治理器
注册表编辑器
进程查看器
以及特定的进程:
excel.exe
winword.exe
包含字符串“play”和“.exe”
taskmgr.exe
regedit.exe
cmd.exe
释放文件,修改注册表。
