当附件被运行后,Maldal.G 会显示一个虚假的Visual Basic 运行错误:
然后它将以文件名win.exe 复制自身到系统目录:
并修改注册表,以使系统启动时这个副本得以运行:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\System = "%System%\win.exe"
Maldal.G 包含有一个破坏机制,它会导致大量的数据丢失,并很有可能使得许多机器在随后重启时,无法正常启动,因为它会搜索并删除如下扩展名的文件:
"com", "bat", "mdb", "xls", "doc", "lnk", "ppt", "pps", "jpg", "mpeg", "ini", "dat", “zip" 和 "txt".
此外,蠕虫会删除一些反病毒软件和个人防火墙包中的文件. Maldal.G 尝试删除如下整个目录,或是这些目录下的所有的文件,这些目录都在Windows所安装的盘符上:
\Program Files\Zone Labs
\Program Files\AntiViral Toolkit Pro
\Program Files\Command Software\F-PROT95
\eSafe\Protect
\PC-Cillin 95
\PC-Cillin 97
\Program Files\Quick Heal
\Program Files\FWIN32
\Program Files\FindVirus
\Toolkit\FindVirus
\f-macro
\Program Files\McAfeeVirusScan95
\Program Files\Norton AntiVirus
\TBAVW95
\VS95
\rescue
Win32.Maldal.G的检测和清除:
请升级kill IT 至31.38,kill安全胄甲至23.49.38查杀该蠕虫.
