世界杯病毒

网络与通信

亓文会

世人瞩目的世界杯硝烟已尽，但一个名为Bat.WCup@mm的蠕虫病毒却还在疯狂地繁殖。

一、病毒主要特征

Bat.WCup@mm病毒内含一个批处理文件，它会创建一个群发邮件的脚本，向系统中释放许多文件，并将一些反病毒软件的重要文件删除。如果病毒被运行，还会影响到系统的启动。
Bat.WCup@mm病毒主要通过Microsoft Outlook传播，邮件的主题是：“WorldCup News！”；正文：“Read me for more world cup news！”；附件：“Worldcup_score.vbs”。病毒还可通过mIRC传播。
病毒文件Worldcup_score.vbs是一个VB脚本文件，如果被运行将依次进行以下操作：
1.在Windows目录或者System目录下创建Argentina.bat、Worldcup.bat、World_cup_.bat、Germany.bat、China.bat、Turkey.bat、Russia.bat、Denmark.bat、Wini.bat、Costarica.bat、Spain.bat、Funny.bat、Italy.bat、Worldcup_score.vbs、Japan.vbs、England.vbs、Ireland.vbs、 Uraguay.vbs、 Paraguay.vbs、Brazil.vbs、 Dd.ini、 Eyeball.reg、Pif.lnk、Vbs.lnk文件，这些文件在接下来可能会被删除；在C：\Windows\ StartMenu\Programs\Startup目录下加入一个Turkey.bat文件。
2.建立C:\ThisIsOnlyASimpleWorm文件夹。
3.用自身代码覆盖.bat文件。
4.病毒修改注册表，在注册表：[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下添加下列文件之一：eifxi china.bat、cqlyg world_cup_.bat。
5.System.ini文件被覆盖，只剩下[boot]部分，用来调用病毒创建的.bat文件。
6.Win.ini文件被覆盖，剩下[Windows]的load=和run=，它们同样被用来调用病毒创建的.bat文件。
7.最后，病毒会删除下列反病毒软件的文件：
Norton~1\*.exe
Norton~1\S32integ.dll
Kasper~1\Avp32.exe
Trojan~1\Tc.exe
F-Prot95\Fpwm32.dll
Mcafee\Scan.dat
Tbav\Tbav.dat
Avpersonal\Antivir.vdf

二、解决方法

1.增强安全意识，对于来路不明的邮件不要轻易打开。
2.如果不幸中毒，也不用着急，看下文即可。
①针对病毒的特征，先删除掉Windows目录或者System目录下的病毒、C:\Windows\StartMenu\Prog-rams\Startup目录下建立的文件及C:\ThisIsOnlyASimpleWorm建立的文件夹。
②参照病毒主要特征中的第4项，删除被修改注册表的键值。
③删除System.ini文件下的[boot]部分、病毒创建的.bat文件和Win.ini文件中[Windows]的load=和run=的值。
④用最新杀毒软件查杀病毒。