BAT.Eversaw.B@mm

2008-02-23 09:31:36来源：互联网阅读 ()

病毒名称: BAT.Eversaw.B@mm 类别：蠕虫病毒资料：感染长度：138230或3443字节

危害级别：中

传播速度：慢

受影响系统：Windows 95, Windows 98, Windows NT, windows 2000, Windows XP, Windows Me

不受影响系统：Macintosh, Unix, Linux

病毒危害：

1.大量发送邮件：会向Outlook地址簿中的邮件地发送大量邮件；

2.删除文件：含有删除文件的有效载荷；

3.修改文件：会插入文件本文件至c:win.ini 中

病毒传播：

邮件主题：Who controls you?

正文：Stop your soul being controled! Get illuminated.

附件：bat.soulcontrol.bat

技术特征：

这是一个脚本蠕虫，会试图通过Outlook、KaZaA、 mIRC及pIRCh传播。它会将硬盘的根目录设为KaZaA共享文件夹，然后将自身拷贝至此共享文件夹下以Bat.soulcontrol.bat文件名存在。同时，它还会试图修改mIRC及pIRCh的配置文件，当受感染电脑与mIRC或pIRCh频道连接时，它会将自身发送出去。

病毒运行后会：

1.将自身拷贝至C:bat.soulcontrol.bat，也会拷贝至A盘中；

2.创建如下文件：

C:Run.bat (3,443 bytes)：这是一个加密过的批处理文件，不含有解密程序，只有在解密的情况下才能运行；

C:Cr.vbs (454 bytes)：含有解密程序，但它本身不是病毒；

C:Soulcontrol.jpg (32,966 bytes)：jpg图像文件；

C:Pl.bat (54 bytes)：含有显示上述图像文件的程序；

注意：由于这几个文件不是病毒体文件，反病毒软件不能扫描到，因此，如果你的计算机中了此病毒要手工删除。

3.病毒会利用C:Cr.vbs对C:Run.bat进行解码，然后运行C:Run.bat。此文件含有向Outlook、mIRC及pIRCh传播病毒的功能；

4.向Outlook地址簿的邮件地址发送病毒邮件；

5.搜索被感染机器上是否安装了mIRC及pIRCh，安装了的话，病毒会修改配置文件，再向这些IRC频道发送病毒；

6.之后，病毒将C盘根目录设为KaZaA共享文件夹，为此它会添加键值Dir0 012345:c:至注册表HKEY_CURRENT_USERSoftwareKazaaLocalContent中，这样，其他KaZaA用户能够从被感染机器上下载C:Bat.soulcontrol.bat。

7.病毒还会删除如下文件：

C:ProgrammeNorton~1S32integ.Dll

C:ProgrammeF-Prot95Fpwm32.Dll

C:ProgrammeMcAfeeScan.Dat

C:Tbavw95Tbscan.Sig

C:ProgrammeTbavTbav.Dat

C:TbavTbav.Dat

C:ProgrammeAvpersonalAntivir.Vdf

C:MircScript.Ini

C:Mirc32Script.Ini

C:Progra~1MircScript.Ini

C:Progra~1Mirc32Script.Ini

C:Pirch98Events.Ini

8.它还会插入以下文件至C:Win.ini文件中：

windows]

load=c:bat.soulcontrol.bat

run=

NullPort=None

并添加键值msg c:pl.bat

至HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ：既能删除又会修改文件的新病毒Eversaw蔓延。
发现日期： 2002-7-17

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有