基本信息：

病毒行为:(1. 2. 3. 4.)

基本信息：

威胁级别：★★

中文名称：恶魔

病毒类型：黑客程序

影响系统：Win9x / WinNT

病毒行为:

该病毒会将自己复制到系统的多个目录中，它运用了多种常用的方法获得运行权。并在每个可写的逻辑磁盘的根目录生成autorun.inf文件，每

次用户打开逻辑磁盘的时候病毒就悄悄地自动运行了。病毒还将自己加载到注册表的启动项，每次开机都将运行病毒，它还修改文本文件的关

联程序指向自身，这样用户每次打开文本文件的时候病毒又悄悄运行起来的。然后他会关闭Windows 任务管理器，注册表编辑器，进程查看器

，Excel应用程序，Word应用程序，包含字符串“play”和“.exe”的程序，命令行窗口程序。它将导致用户辛辛苦苦编辑的Word文档，Excel

表格瞬间丢失，用户不能用Windows 任务管理器关闭它，用户不能编辑注册表，用户不能打开命令行窗口，还不能运行带有“play”的软件。

1.

病毒检查当前目录，如果是根目录，就创建互斥体root，如果互斥体已经存在就退出，否则就创建Explorer进程，打开当前目录；

如果不是根目录，就创建互斥体not_root，如果互斥体已经存在就退出，否则就进行下一步。

2.

将自身复制为以下文件（路径是硬编码的，如过不存在就释放不成功）：

C:\\WINDOWS\\view.exe

C:\\WINDOWS\\system32\\winvor.exe

C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\start.pif

并在每个可写的逻辑磁盘的根目录生成以下隐藏文件

system32.exe （该文件是病毒的副本）

autorun.inf

autorun.inf文件的内容为：

[autorun]

open=system32.exe

当用户打开磁盘的时候病毒就自动运行了。

3.

修改注册表。

添加启动项：

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

"RUNEXE"="C:\\WINDOWS\\view.exe"

修改文本文件关联程序为病毒文件：

HKCR\\txtfile\\shell\\open\\command\\

"默认"="C:\\WINDOWS\\system32\\winvor.exe %1"

4.

创建一个关机线程，在20分钟将关闭计算机。并创建一个时钟，每隔一秒钟就执行一下操作：

关闭桌面上的特定窗口名字的窗口：

Windows 任务管理器

注册表编辑器

进程查看器

以及特定的进程：

excel.exe

winword.exe

包含字符串“play”和“.exe”

taskmgr.exe

regedit.exe

cmd.exe

释放文件，修改注册表。