创建文件、恶意篡改IE主页这些司空见惯的病毒行为，人们早已熟悉。各家杀毒软件的扫描引擎也早就对这些敏感字符串加以监控，只要程序中包含这些内容就将被视为可疑文件，从而大大降低病毒的存活几率。但“顽强”的病毒作者们总会想尽一切办法来进行对抗。

最近，AVG中国病毒实验室就侦测到一种新型的bat病毒，正在悄然蔓延。

与以往常见bat病毒的不同在于：此次的病毒是将内容以十六进制形式分散写入多个文件，然后将这些文件进行拼接组合，生成最终的恶意程序。

拼接的方法是采用copy A /b + B /b + ...(/b以二进制形式)。

将众多“正常”文件巧妙组合成病毒文件，拼接过程中没有出现明文的字符串，降低了被检测到的几率。

下面来看下病毒的具体行为：

1.首先在D盘下创建msn\gaming文件夹，设置属性为系统+隐藏。

2.在桌面创建“淘”字样图标，修改IE主页，添加导航网页和钓鱼网页，自启动。

3.拼接生成2个exe文件link.exe和Ker.exe，用于启动tmptwo.bat, “start /min”是最小化运行，从而降低了被发现的几率。

Tmptwo.bat用于启动fuck.bat。

fuck.bat用于实现2的功能。(该文件也是拼接生成)

4.清理这些用于拼接的临时文件。

在后续的变种中，为了逃避杀软的查杀，病毒作者在原有基础上做了修改。

一种是修改bat文件的头部，加入了用于混淆的垃圾代码。

另一种是给批处理文件加密，方法是在文件头部加上FFEF，让记事本一类的文本编辑器以UNICODE方式打开批处理文件，就会显示乱码，但Windows本身并不认为这个文件是UNICODE格式文件，依然依次执行文件中的每条命令，批处理文件仍然能够正常运行。

切换到十六进制模式显示如下代码：

如果强行在要被加密的批处理文件头增加UNICODE文件头FFFE，肯定会造成被加密批处理文件的第一条命令执行错误，而作者，在FFFE后面加了一个0D0A，这是个回车换行命令，这样就不会影响被加密文件第一条命令的执行。

AVG已经将其检测为Bat/Agent，能有效阻止该恶意软件。在这里，AVG不得不提醒广大用户，及时更新病毒库、定时查杀，养成良好的上网习惯才是王道;另外，网上冲浪特别是在网购的时候，看好官方网站再登入，千万不要被山寨网购网站所迷惑。