危险级别：低

传播速度：慢

技术特征：

BAT.WCup@mm是一个批处理文件，能够创建邮件发送脚本及生成大量文件。同时还会删除几款反病毒软件的程序文件，一旦运行即有可能影响到操作系统的启动。它通过电子邮件及mIRC进行传播，病毒邮件格式如下：

主题：WorldCup News!（世界杯战报）

内文：Read me for more world cup news!

附件：Worldcup_score.vbs

在此特别警告用户，收到此邮件后，千万别打开附件且立即删除。

附件是一段Visual Basic脚本，运行后：

1.创建或可能随后删除如下文件：

Argentina.bat

Worldcup.bat

World_cup_.bat

Germany.bat

China.bat

Turkey.bat

Russia.bat

Denmark.bat

Wini.bat

Costarica.bat

Spain.bat

Funny.bat

Italy.bat

Worldcup_score.vbs

Japan.vbs

England.vbs

Ireland.vbs

Uraguay.vbs

Paraguay.vbs

Brazil.vbs

Dd.ini

Eyeball.reg

Pif.lnk

Vbs.lnk

大部分文件都在％Windows％或Windows％System％ 目录下，其中Turkey.bat 被加载至WindowsStartMenuProgramsStartup文件夹中。

2.创建C:ThisIsOnlyASimpleWorm目录；

3.用执行所生成文件中某个批处理或VBS文件的命令来覆盖Win.ini及System.ini 文件；

4.利用自身代码覆盖Windows下的.bat文件，包括自动批处理文件Autoexec.bat；

5.添加如下键值之一

eifxi china.bat

cqlyg world_cup_.bat

至注册表键HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中；

6.WindowsSystem.ini被覆盖后，只剩系统引导文件，该文件会调用病毒所生成的某个批处理文件；

7.WindowsWin.ini被覆盖后，仅剩 [Windows] load= 及 run= entries ，这些入口会调用病毒所生成的某个批处理文件；

8.最后，此病毒还会删除反病毒软件的程序文件，受影响文件包括：

Progra~1Norton~1*.exe

Progra~1Norton~1S32integ.dll

Progra~1Kasper~1Avp32.exe

Progra~1Trojan~1Tc.exe

Progra~1F-Prot95Fpwm32.dll

Progra~1 McafeeScan.dat

Progra~1TbavTbav.dat

Progra~1AvpersonalAntivir.vdf