病毒名称： Virus.Win32.Devil.a
中文名称： 恶魔病毒
病毒类型： 病毒
文件 MD5： AEB1EC3571803651FB644C73C4521BD5
公开范围： 完全公开
危害等级： 4
文件长度： 397,338字节
感染系统： Win98以上版本
开发工具： Borland Delphi
加壳类型： UPX变形壳

　　该病毒采用Borland Delphi编写，并通过UPX变形壳做加壳处理，病毒运行后在每个
驱动器根目录下释放autorun.inf文件，并将病毒自身写入到%System32%目录下：
　　c:\autorun.inf 　　　　　　　　　 328字节
　　%System32%\NetInfo.exe 　　　 　　397,338字节

本地行为：

1、该病毒运行后会遍历磁盘感染扩展名为.exe、.bin、.sys、.ini、.bat、.txt、.zip、.gif等多
种格式的文件，受系统保护的文件不感染，也不感染系统文件夹下的文件，感染采用捆绑的方式，
在头部添加61026个字节，将病毒和宿主文件捆绑在一起，形成新的病毒体，病毒会在宿主文件的的
后面添加扩展名.EXE，如下图：

感染前：
　

感染后：

2、病毒运行后会弹出一个对话框。

　　感染此病毒的计算机在Windows2000、WindowsXP、Windows2003系统下，会无法注销、重启、关机。
　　而且在Windows2000系统下，用户强行重启系统时会出现无法启动的情况，如下图：



　　在WindowsXP、Windows2003系统下，可以启动，但是会有提示出现，如下图：



3、在各个硬盘跟目录下释放的autorun.inf 文件是病毒主体的伴生文件，该文件内容如下：

　　　　 [AutoRun]

　　　　 Open=/RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}/GUESSNUM.EXE

　　　　 shell\open\Command=/RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}/GUESSNUM.EXE

　　　　 shell\explore\Command=/RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}/GUESSNUM.EXE

　　　　 shell\find\Command=/RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}/GUESSNUM.EXE

　　这样，该病毒就可以利用Windows系统的自动播放功能借助与U盘来传播，当用户在不知情的情况
下，双击已感染该病毒的U盘时，就会将病毒传播到新的系统中。　　　

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。
　　
　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　　　　　　

点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net