標籤: 暫無標籤

BAT.WCup
       危險級別:低
  傳播速度:慢
  技術特徵:
  BAT.WCup@mm是一個批處理文件,能夠創建郵件發送腳本及生成大量文件。同時還會刪除幾款反病毒軟體的程序文件,一旦運行即有可能影響到操作系統的啟動。它通過電子郵件及mIRC進行傳播,病毒郵件格式如下:
  主題:WorldCup News!(世界盃戰報)
  內文:read me for more World Cup news!
  附件:Worldcup_score.vbs
  在此特別警告用戶,收到此郵件后,千萬別打開附件且立即刪除。
  附件是一段Visual Basic腳本,運行后:
  1.創建或可能隨後刪除如下文件:
  Argentina.bat
  Worldcup.bat
  World_cup_.bat
  Germany.bat
  China.bat
  Turkey.bat
  Russia.bat
  Denmark.bat
  Wini.bat
  Costarica.bat
  Spain.bat
  Funny.bat
  Italy.bat
  Worldcup_score.vbs
  Japan.vbs
  England.vbs
  Ireland.vbs
  Uraguay.vbs
  Paraguay.vbs
  Brazil.vbs
  Dd.ini
  Eyeball.reg
  Pif.lnk
  Vbs.lnk
  大部分文件都在%Windows%或Windows%System% 目錄下,其中Turkey.bat 被載入至WindowsStartMenuProgramsStartup文件夾中。
  2.創建C:ThisIsOnlyASimpleWorm目錄;
  3.用執行所生成文件中某個批處理或VBS文件的命令來覆蓋Win.ini及System.ini 文件;
  4.利用自身代碼覆蓋Windows下的.bat文件,包括自動批處理文件Autoexec.bat;
  5.添加如下鍵值之一
  eifxi china.bat
  cqlyg world_cup_.bat
  至註冊表鍵HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中;
  6.WindowsSystem.ini被覆蓋后,只剩系統引導文件,該文件會調用病毒所生成的某個批處理文件;
  7.WindowsWin.ini被覆蓋后,僅剩 [Windows] load= 及 run= entries ,這些入口會調用病毒所生成的某個批處理文件;
  8.最後,此病毒還會刪除反病毒軟體的程序文件,受影響文件包括:
  Progra~1Norton~1*.exe
  Progra~1Norton~1S32integ.dll
  Progra~1Kasper~1Avp32.exe
  Progra~1Trojan~1Tc.exe
  Progra~1F-Prot95Fpwm32.dll
  Progra~1 McafeeScan.dat
  Progra~1TbavTbav.dat
  Progra~1AvpersonalAntivir.vdf

參考資料:

上一篇[BFCimporter]    下一篇 [Bass模型]

相關評論

同義詞:暫無同義詞