瑞星卡卡安全论坛

【CISRT2007029】病毒 internat.exe _.de setup.exe autorun.inf 解决方案
http://www.cisrt.org/bbs/viewthread.php?tid=851


档案编号：CISRT2007029
病毒名称：Worm.Win32.Delf.bg（Kaspersky）
病毒别名：Worm.MYGOD.a.30001（毒霸）
　　　　　 Worm.Delf.dy（瑞星）
病毒大小：18,432 字节（30,001 字节）
加壳方式：PE_Patch.UPX UPX
样本MD5：c773bd861b2c32d88da59cc3f6c4a604（00ea5b91a6166c096a1d7e5816183eab）
样本SHA1：58c26dd583e3c70f5fde5d7892bedd9684d705b5（5ec2b00e7cec6edc34e6b2747b732fe02aa16954）
发现时间：2007.2
更新时间：2007.2.7
关联病毒：
传播方式：恶意网页、其它病毒下载，感染exe文件，可通过移动存储设备（U盘等）传播


技术分析
==========

病毒运行后释放自身副本到系统system目录：
%Windows%\system\internat.exe
并运行，加开关参数/sleepdown。

使用批处理{原文件名}.bat删除自身原文件，{原文件名}.bat内容：

向各分区目录复制副本，创建autorun.inf：
X:\setup.exe
X:\autorun.inf

autorun.inf内容：
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\打开(&O)\command=setup.exe

病毒感染分系统分区下的所有exe文件，使用dir命令收集非系统分区下的所有exe文件列表：

dir *.exe /s /b >%Windows%\win.log

被感染文件运行后释放病毒体（大小30001字节）到C盘根目录并运行：
C:\_.de

%Windows%\system\internat.exe开关参数/update，尝试访问网络下载其它病毒或恶意程序，保存到以下位置并运行：
%Windows%\system\SYSTEM32.vxd（加密文件列表）
%Windows%\system\1.exe
%Windows%\system\2.exe
%Windows%\system\3.exe
%Windows%\system\4.exe
%Windows%\system\5.exe
%Windows%\system\6.exe
%Windows%\system\7.exe
%Windows%\system\8.exe
%Windows%\system\9.exe
%Windows%\system\10.exe
%Windows%\system\svchost.exe

病毒内发现有如下信息：

MYGOD
this is the Rav get all path administrators
.....................卡巴 我恨你...............

清除步骤
==========

1. 结束病毒进程：
%Windows%\system\internat.exe

2. 删除病毒文件：
%Windows%\system\internat.exe

3. 通过文件夹树形结构目录进入分区根目录，删除病毒文件：
X:\setup.exe
X:\autorun.inf

4. 删除C盘根目录下的病毒文件（可能存在）：
C:\_.de

5. 删除病毒下载的其它病毒或恶意程序（可能存在）：
%Windows%\system\SYSTEM32.vxd
%Windows%\system\1.exe
%Windows%\system\2.exe
%Windows%\system\3.exe
%Windows%\system\4.exe
%Windows%\system\5.exe
%Windows%\system\6.exe
%Windows%\system\7.exe
%Windows%\system\8.exe
%Windows%\system\9.exe
%Windows%\system\10.exe
%Windows%\system\svchost.exe

6. 使用反病毒软件进行全盘扫描，清除被感染的exe文件


发布时间：2007-02-13 10:41

欢迎访问CISRT  http://www.cisrt.org
相关贴子链接http://www.cisrt.org/bbs/viewthread.php?tid=851


===============================
其他信息：
http://hi.baidu.com/killvir/blog/item/5afa9822c710c6f3d7cae2ac.html目前很多网站已被植入恶意网址hxxp://****.d3a.us，恶意页面跳转到hxxp://35012.com会下载这类新文件感染型木马病毒。

Kaspersky检测为Worm.Win32.Delf.bg，瑞星检测为Worm.Delf.dy

此类病毒特性会造成手工文件修复的复杂，建议使用官方杀毒软件清除并修复，农夫版的专杀工具近日出炉，到时给大家开下载直通道！


强烈建议大家快屏蔽如下网址：

127.0.0.1 d3a.us

127.0.0.1 35012.com

谢谢

了解到.
顶...

已经没什么出奇的地方了

3Q  了解!!!!
  顶

谢咯


偶也要试试你的方法先~~~~

怎么屏蔽网站

高手~~~劲

学习了,希望能出专杀

怎么屏蔽网站

学习

是否只要是INTERNAT.EXE,就一定是病毒了?一定要删除?我看着它也觉可疑,可屡删不止!正想问呢!一定是病毒喽?!

我中过，卡巴、瑞星、金山能查出，清除不掉，而且查不出来被感染的文件，执行后又他妈中了

首先非常感谢!
再就是我还有问题想问一下.现在我家里用的是诺顿,公司用的是瑞星.每次从家里往公司带文件的时候都会在U盘里查出这个病毒,可诺顿就查不到,我不知道我家是里的机器是否也有这个东东,怎么办啊?

顶一个,,

看来大家都想知道怎么屏蔽网站