BAT.WCup
危险级别:低
传播速度:慢
技术特征:
BAT.WCup@mm是一个批处理文件,能够创建邮件发送脚本及生成大量文件。同时还会删除几款反病毒软件的程序文件,一旦运行即有可能影响到操作系统的启动。它通过电子邮件及mIRC进行传播,病毒邮件格式如下:
主题:WorldCup News!(世界杯战报)
内文:Read me for more world cup news!
附件:Worldcup_score.vbs
在此特别警告用户,收到此邮件后,千万别打开附件且立即删除。
附件是一段Visual Basic脚本,运行后:
1.创建或可能随后删除如下文件:
Argentina.bat
Worldcup.bat
World_cup_.bat
Germany.bat
China.bat
Turkey.bat
Russia.bat
Denmark.bat
Wini.bat
Costarica.bat
Spain.bat
Funny.bat
Italy.bat
Worldcup_score.vbs
Japan.vbs
England.vbs
Ireland.vbs
Uraguay.vbs
Paraguay.vbs
Brazil.vbs
Dd.ini
Eyeball.reg
Pif.lnk
Vbs.lnk
大部分文件都在%Windows%或Windows%System% 目录下,其中Turkey.bat 被加载至WindowsStartMenuProgramsStartup文件夹中。
2.创建C:ThisIsOnlyASimpleWorm目录;
3.用执行所生成文件中某个批处理或VBS文件的命令来覆盖Win.ini及System.ini 文件;
4.利用自身代码覆盖Windows下的.bat文件,包括自动批处理文件Autoexec.bat;
5.添加如下键值之一
eifxi china.bat
cqlyg world_cup_.bat
至注册表键HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中;
6.WindowsSystem.ini被覆盖后,只剩系统引导文件,该文件会调用病毒所生成的某个批处理文件;
7.WindowsWin.ini被覆盖后,仅剩 [Windows] load= 及 run= entries ,这些入口会调用病毒所生成的某个批处理文件;
8.最后,此病毒还会删除反病毒软件的程序文件,受影响文件包括:
Progra~1Norton~1*.exe
Progra~1Norton~1S32integ.dll
Progra~1Kasper~1Avp32.exe
Progra~1Trojan~1Tc.exe
Progra~1F-Prot95Fpwm32.dll
Progra~1 McafeeScan.dat
Progra~1TbavTbav.dat
Progra~1AvpersonalAntivir.vdf
参考资料: