基本介紹
- 中文名:BAT.WCup
- 性質:一個批處理檔案
- 危險級別:低
- 傳播速度:慢
基本信息,危險級別,傳播速度,技術特徵,
基本信息
危險級別
危險級別:低
傳播速度
傳播速度:慢
技術特徵
技術特徵:
它通過電子郵件及mIRC進行傳播,病毒郵件格式如下:
主題:WorldCup News!(世界盃戰報)
內文:Read me for more world cup news!
附屬檔案:Worldcup_score.vbs
在此特別警告用戶,收到此郵件後,千萬別打開附屬檔案且立即刪除。
附屬檔案是一段Visual Basic腳本,運行後:
1.創建或可能隨後刪除如下檔案:
Argentina.bat
Worldcup.bat
World_cup_.bat
Germany.bat
China.bat
Turkey.bat
Russia.bat
Denmark.bat
Wini.bat
Costarica.bat
Spain.bat
Funny.bat
Italy.bat
Worldcup_score.vbs
Japan.vbs
England.vbs
Ireland.vbs
Uraguay.vbs
Paraguay.vbs
Brazil.vbs
Dd.ini
Eyeball.reg
Pif.lnk
Vbs.lnk
大部分檔案都在%Windows%或Windows%System% 目錄下,其中Turkey.bat 被載入至WindowsStartMenuProgramsStartup資料夾中。
2.創建C:ThisIsOnlyASimpleWorm目錄;
3.用執行所生成檔案中某個批處理或VBS檔案的命令來覆蓋Win.ini及System.ini 檔案;
4.利用自身代碼覆蓋Windows下的.bat檔案,包括自動批處理檔案Autoexec.bat;
5.添加如下鍵值之一
eifxi china.bat
cqlyg world_cup_.bat
至註冊表鍵HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中;
7.WindowsWin.ini被覆蓋後,僅剩 [Windows] load= 及 run= entries ,這些入口會調用病毒所生成的某個批處理檔案;
8.最後,此病毒還會刪除反病毒軟體的程式檔案,受影響檔案包括:
Progra~1Norton~1*.exe
Progra~1Norton~1S32integ.dll
Progra~1Kasper~1Avp32.exe
Progra~1Trojan~1Tc.exe
Progra~1F-Prot95Fpwm32.dll
Progra~1 McafeeScan.dat
Progra~1TbavTbav.dat
Progra~1AvpersonalAntivir.vdf
