基本信息

描述

解决方案

基本信息

病毒名称 Demiurg

病毒中文名 “子母弹”病毒

病毒类型 文件型

危险级别 一般

影响平台 WIN95,WIN98,WINME,WIN2000,WINNT,WINXP

感染对象 DOS可执行程序、批处理文件、WINDOWS的可执行程序，而

描述

该病毒被激活后，会象“子母弹”一样，分裂出多种类型的病毒来分别攻击并感染计算机内不同类型的文件。

该病毒分裂时，会在C盘根目录下产生出几个具有独立传染能力和传染各不相同文件性质的子病毒。它们的名字是：DEMIURG.EXE、DEMIURG.SYS、DEMIURG.XLS和EXCEL的启动子目录内的XLSTART.XLS，这些都是子病毒，分别传染各自不同的文件。

该病毒感染文件的类型比较多，它既感染DOS可执行程序、批处理文件、Windows的可执行程序，而且还感染EXCEL97/2000文件。

该病毒感染的文件的具体类型有：DOS下的COM文件、DOS下的EXE文件、BAT文件、XLS文件以及Windows下的PE格式的可执行文件、NE格式的可执行文件、内核文件KERNEL32.DLL文件。

该病毒感染EXCEL97/2000文件的长度为16,354字节,感染WIN_PE文件的长度为17408字节, 感染DOS的.COM、.EXE文件的长度为27552字节左右。

该病毒在感染KERNEL32.DLL文件时将\\WINDOWS\\SYSTEM目录下的文件KERNEL32.DLL感染后再拷贝到\\WINDOWS目录下。病毒修改了KERNEL32.DLL文件中的一些有关的文件操作的一些函数：包括文件的建立、读取文件属性、拷贝文件、移动文件等操作，具体的相关的函数名称是：

CreateFileA, CreateFileW, GetFileAttributesA,GetFileAttributesW, SetFileAttributesA, SetFileAttributesW, CopyFileA, CopyFileW, MoveFileExA, MoveF

ileExW等函数。

在被感染的Windows 95/98/Me系统下, Windows的SYSTEM目录下的原文件KERNEL32.DLL文件没被感染。

在感染病毒后重新启动计算机后，Windows调用的是Windows目录下被病毒感染的文件KERNEL32.DLL文件。

在Windows 2000系统下，受病毒感染的计算机在重新启动后，感染病毒的KERNEL32.DLL文件从WINDOWS目录下被拷贝到WINDOWS的SYSTEM目录下，原来的KERNEL32.DLL的文件被覆盖了。

而在Windows NT环境下，受病毒感染的计算机将不能正常启动了。

病毒还感染Windows目录下的其它文件。

该病毒感染EXCEL文档的过程是将一个受感染的文件放在EXCEL的启动子目录XLSTART目录下，同时在系统的根目录下建立一个文件DEMIURG.SYS,每次EXCEL启动时，EXCEL会自动调用\\XLSTART子目录下的受病毒感染的文件，进而感染别的EXCEL文件。

当感染病毒的计算机重新启动计算机， 该病毒就会感染DOS程序、批处理文件、Windows系统文件。

该病毒感染批处理文件BAT文件时，在该文件的尾部增加一些代码以及病毒代码本身。当运行这些受病毒感染的批处理文件时，这些增加在文件尾部的代码可以产生一个名称为DEMIURG.EXE文件，当运行这个程序后，批处理文件就作为一个参数被执行，结果它就建立一个Windows应用程序：DEMIURG.EXE。

当该病毒感染DOS下的EXE文件及WINDOWS 16位系统下的EXE文件时，将全部病毒代码拷贝到受感染的文件的尾部。当执行被病毒感染的文件，病毒就会建立另外一个含有病毒体的WIN_PE文件DEMIURG.EXE，而且能执行这个新建立的文件。

病毒感染COM文件是通过将COM文件转换成EXE文件来传染的。和以上讲的EXE文件的传染方式一致。

当感染Windows的PE格式的文件时，将病毒代码本身拷贝到被感染的程序的最后一个段中，并将程序开始的入口地址直接指向病毒体。当执行受感染的文件时，首先将被执行的是病毒体本身。

该病毒不感染WORD文件。感染该病毒的计算机不能自动通过网络传播，该病毒不具备网络蠕虫的特性。

解决方案

KV江民反病毒软件的文件监视功能可以有效防止、拦截该病毒，请及时升级病毒库，打开各项监视程序。对于已感染此病毒的用户可以在Windows下直接使用KV进行查杀。