携带双重攻击手段“叛逃者”病毒现身网络

　　新浪科技讯2003年2月17日，瑞星全球反病毒监测网在国内率先截获一个混合型脚本病毒“叛逃者”(VBS.Evade)病毒。该病毒不攻击系统文件，但是会感染、破坏网页类文件、多媒体文件和办公文件，而且文件一旦被破坏就无法恢复。

　　“叛逃者”病毒还会象蠕虫病毒一样通过OUTLOOK邮件进行传播，重要的是，该病毒会将被感染的Office文件当做邮件附件发送出去，造成严重泄密。既破坏文件又泄密，因此对

于企事业单位的局域网用户来说，这个病毒的危害性更大。瑞星公司于2月17日晚间进行紧急升级，升级版本号为：15.22.01,请用户及时升级。

　　该

　　一、该病毒运行时会复制出WINSTART.VBS、NETLNK32.VBS、WININST32.VBS、WINNT32.VBS、WINNET32.VBS、CONVERSATION.VBE等6个病毒体，然后将它们拷入系统目录，以增大运行机会，并在所根目录下生成：PASSWORDS.VBS的文件来诱惑用户运行病毒,当病毒运行时就会感染硬盘上的所有VBS类型的文件，将病毒代码加密后插入这些文件中。

　　二、该病毒还会生成：EVADE.GIF、EVADE.JPG两个图形文件，然后将病毒代码藏入其中，以防止用户发现病毒。

　　三、病毒在完成了以上工作后，会直接感染Word、Excel的模板文件，只要用户打开这类文档文件，病毒就可以运行，然后不断地感染其它的文档文件。

　　四、病毒还会查找计算机中的地址薄，通过邮件进行传播.

　　病毒会生成以下标题的信件：

　　"Here is that file"

　　"Important file"

　　"The file"

　　"Word file"

　　"The file you wanted"

　　"Here is the file"

　　邮件内容为：

　　"The file I am sending you is confidential as well as important;

　　so don't let anyone else have a copy."

　　邮件的附件是被感染的当前病毒文档，当用户打开该病毒文档时，病毒便开始运行。

　　该病毒的双重威胁：破坏文件＋泄密

　　一、病毒运行后会用病毒自身覆盖掉以下目录中

　　的.mp3 .mp2 .avi .mpg .mpeg .mpe .mov .pdf .doc .xls .mdb .ppt .pps等十余种数据文件，并且无法恢复：

　　C:\Kazaa\My Shared Folder

　　C:\My Downloads

　　C:\ProgramFiles%\Kazaa\My Shared Folder

　　C:\ProgramFiles%\KaZaA Lite\My Shared Folder

　　C:\ProgramFiles%\Bearshare\Shared

　　C:\ProgramFiles%\Edonkey2000

　　C:\ProgramFiles%\Morpheus\My Shared Folder

　　C:\ProgramFiles%\Grokster\My Gorkster

　　C:\ProgramFiles%\ICQ\Shared Files

　　二、病毒在感染Office类型的文件时，会不断地将当前被感染的这些文档当做病毒邮件发送出去，造成计算机文档数据的严重泄密。