当你收到主题为WorldCup News!的病毒的时候你千万不要以为收到了关于世界杯的新闻邮件。而应该立刻提高警惕，立刻核对正文和附件，如果恰好正文是“Read me for more world cup news!”而附件是Worldcup_score.vbs的话。无疑，您是收到了通过邮件和mIRC传播的，被称为BAT.WCup@mm的病毒。

　　Bat.WCup@mm病毒是一个批处理文件，它会创建一个乱发邮件的脚本，并向系统中释放许多文件，还会将一些反病毒软件的文件删除。如果病毒被运行，可能会影响到系统的启动。

　　病毒通过运行Worldcup_score.vbs这个VB脚本文件来激活，一旦Worldcup_score.vbs这个文件被被运行，病毒程序将会进行以下的操作：

　　1.创建一系列文件，这些文件在病毒程序使用完后可能会被删除。（以下是文件的列表）

　　Argentina.bat
　　Worldcup.bat
　　World_cup_.bat
　　Germany.bat
　　China.bat
　　Turkey.bat
　　Russia.bat
　　Denmark.bat
　　Wini.bat
　　Costarica.bat
　　Spain.bat
　　Funny.bat
　　Italy.bat
　　Worldcup_score.vbs
　　Japan.vbs
　　England.vbs
　　Ireland.vbs
　　Uraguay.vbs
　　Paraguay.vbs
　　Brazil.vbs
　　Dd.ini
　　Eyeball.reg
　　Pif.lnk
　　Vbs.lnk

　　上述文件大部分被病毒创建在WINDOWS目录或者SYSTEM目录，Turkey.bat文件被加在\Windows\StartMenu\Programs\Startup目录下。

　　2.建立C:\ThisIsOnlyASimpleWorm文件夹

　　3.修改Win.ini和System.ini文件

　　4.用自身代码覆盖.bat文件

　　5.病毒修改注册表，在注册表：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加下列之一：
　　eifxi china.bat
　　cqlyg world_cup_.bat

　　6.\Windows\System.ini文件被覆盖，只剩下[boot]部分，被用来调用病毒创建的.bat文件

　　7.\Windows\Win.ini文件被覆盖，剩下[Windows]的load=和run=，它们被用来调用病毒创建的.bat文件

　　8.最后，病毒删除下列反病毒软件的文件：

　　Progra~1\Norton~1\*.exe
　　Progra~1\Norton~1\S32integ.dll
　　Progra~1\Kasper~1\Avp32.exe
　　Progra~1\Trojan~1\Tc.exe
　　Progra~1\F-Prot95\Fpwm32.dll
　　Progra~1 \Mcafee\Scan.dat
　　Progra~1\Tbav\Tbav.dat
　　Progra~1\Avpersonal\Antivir.vdf

　　下面是BAT.WCup@mm病毒的档案和特征，大家在使用电脑的过程中一定小心：

　　病毒名称：BAT.WCup@mm
　　病毒类型：蠕虫

　　传播途径：Bat.WCup@mm病毒通过Microsoft Outlook传播，病毒还试图通过mIRC传播。病毒以邮件的形式到达，邮件有如下特征：

　　主题：WorldCup News!
　　正文：Read me for more world cup news!
　　附件：Worldcup_score.vbs.