BAT.Natay@mm是2002年08月09日发现的蠕虫病毒。此病毒会向所有使用微软Outlook收电子邮件的用户发送大量的病毒邮件。

病毒名称：BAT.Natay@mm

发现日期：2002-08-09

病毒类型：蠕虫病毒

传播范围：低

危害级别：中

传播速度：快

病毒介绍：

此病毒会向所有使用微软Outlook收电子邮件的用户发送大量的病毒邮件。其发送的电子邮件名称为：Happy National Day Singapore!（意思是：新加坡国的国庆节快乐！） 附件的名字为：NationalDay2002.bat。 它能感染安装Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me操作系统，而不能感染安装 Macintosh, Unix, Linux操作系统。

1.此病毒能够删除下列各项文件：

C:\\Progra~1\\kasper~1\\avp32.exe

C:\\Progra~1\orton~1\\*.exe

C:\\Progra~1\\trojan~1\\tc.exe

C:\\Progra~1\orton~1\\s32integ.dll

C:\\Progra~1\\f-prot95\\fpwm32.dll

C:\\Progra~1\\mcafee\\scan.dat

C:\\Progra~1\\tbav\\tbav.dat

C:\\Progra~1\\avpersonal\\antivir.vdf

C:\\tbav95\\tbscan.sig

2.此病毒是一个批处理文件，其会在硬盘上的不同文件夹将自已复制多次，并且同时也删除一些，但是有一些文件其是不会删除,如：

C:\ationalday2002.bat 这是邮件在发送时的病毒附件

%windir%\\Snici.bat 这个文件会被System.ini文件调用

%windir%\DP1996.bat 这个文件病毒会将其添加至注册表中

C:\\ThisIsASimpleWormBySGBoyToLetTheWholeNationCelebrateNationalDay200\ationalDay.j

pg.bat 这个文件病毒将会利用mIRC向外发送。

3.此病毒作为批处理文件其会全力地删除以下反病毒程序：

C:\\Progra~1\\Kasper~1\\Avp32.exe

C:\\Progra~1\orton~1\\*.exe

C:\\Progra~1\\Trojan~1\\Tc.exe

C:\\Progra~1\orton~1\\S32integ.dll

C:\\Progra~1\\F-prot95\\Fpwm32.dll

C:\\Progra~1\\Mcafee\\Scan.dat

C:\\Progra~1\\Tbav\\Tbav.dat

C:\\Progra~1\\Avpersonal\\Antivir.vdf

C:\\Tbav95\\Tbscan.sig

4.这个病毒为保证其能够运行，此病毒会将%windir%下的所有以.pif格式存在的文件全部重写，并创建C:\\Command.pif及C:\\Pif.pif。它还会全部重写%windir%\\System.ini，使之变为：

shell=explorer.exe %windir%\\snici.bat

5.病毒还会添加键值(NDP1999 %windir%NDP1996.bat)到注册表：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run中,使得机器启动时，病毒就会自动运行。

6.如果被此病毒感染的机器上有Mirc文件夹，它会全部修改Mirc.ini文件。

7.此病毒还能够创造以下几个子文件夹：

C:\\ThisIsASimpleWormBySGBoyToLetTheWholeNationCelebrateNationalDay2002

%windir%\\³ÅÅÅÅ （此病毒文件夹在 Windows窗口环境下无法将其删除，只有在DOS窗口环境下将其删除）

解决方案：

1.查找硬盘，清除病毒体。

2.到注册表编辑器：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run中将键值

NDP1999 %windir%NDP1996.bat删除即可清除病毒。