计算机世界网消息 2003年2月17日,瑞星全球反病毒监测网在国内率先截获一个混合型脚本病毒“叛逃者”(VBS.Evade)病毒。该病毒不攻击系统文件,但是会感染、破坏网页类文件、多媒体文件和办公文件,而且文件一旦被破坏就无法恢复。
“叛逃者”病毒还会象蠕虫病毒一样通过OUTLOOK邮件进行传播,重要的是,该病毒会将被感染的Office文件当做邮件附件发送出去,造成严重泄密。既破坏文件又泄密,因此对
于企事业单位的局域网用户来说,这个病毒的危害性更大。
瑞星公司于2月17日晚间进行紧急升级,升级版本号为:15.22.01,请用户及时升级。
该病毒用以下方式进行感染和传播:
一、该病毒运行时会复制出WINSTART.VBS、NETLNK32.VBS、
WININST32.VBS、WINNT32.VBS、WINNET32.VBS、CONVERSATION.VBE等6个病毒体,然后将它们拷入系统目录,以增大运行机会,并在所根目录下生成:PASSWORDS.VBS的文件来诱惑用户运行病毒,当病毒运行时就会感染硬盘上的所有VBS类型的文件,将病毒代码加密后插入这些文件中。
二、该病毒还会生成:EVADE.GIF、EVADE.JPG两个图形文件,然后将病毒代码藏入其中,以防止用户发现病毒。
三、病毒在完成了以上工作后,会直接感染Word、Excel的模板文件,只要用户打开这类文档文件,病毒就可以运行,然后不断地感染其它的文档文件。
四、病毒还会查找计算机中的地址薄,通过邮件进行传播.
