[快讯]2003年2月17日，瑞星全球反病毒监测网在国内率先截获一个混合型脚本病毒“叛逃者”（VBS.Evade）病毒。该病毒不攻击系统文件，但是会感染、破坏网页类文件、多媒体文件和办公文件，而且文件一旦被破坏就无法恢复。

    “叛逃者”病毒还会像蠕虫病毒一样通过OUTLOOK邮件进行传播，重要的是，该病毒会将被感染的Office文件当做邮件附件发送出去，造成严重泄密。既破坏文件又泄密，因此对于企事业单位的局域网用户来说，这个病毒的危害性更大。

    瑞星公司于2月17日晚间进行紧急升级，升级版本号为：15.22.01, 请用户及时升级。

    该病毒用以下方式进行感染和传播：

    一、该病毒运行时会复制出WINSTART.VBS、NETLNK32.VBS、WININST32.VBS、WINNT32.VBS、WINNET32.VBS、CONVERSATION.VBE等6个病毒体，然后将它们拷入系统目录，以增大运行机会，并在所根目录下生成：PASSWORDS.VBS的文件来诱惑用户运行病毒,当病毒运行时就会感染硬盘上的所有VBS类型的文件，将病毒代码加密后插入这些文件中。

    二、该病毒还会生成：EVADE.GIF、EVADE.JPG两个图形文件，然后将病毒代码藏入其中，以防止用户发现病毒。

    三、病毒在完成了以上工作后，会直接感染Word、Excel的模板文件，只要用户打开这类文档文件，病毒就可以运行，然后不断地感染其它的文档文件。

    四、病毒还会查找计算机中的地址薄，通过邮件进行传播.
    病毒会生成以下标题的信件：

    "Here is that file"
     "Important file"
     "The file"
     "Word file"
     "The file you wanted"
     "Here is the file"

    邮件内容为：

    "The file I am sending you is confidential as well as important;
      so don't let anyone else have a copy."

    邮件的附件是被感染的当前病毒文档，当用户打开该病毒文档时，病毒便开始运行。

    该病毒的双重威胁：破坏文件＋泄密

    一 病毒运行后会用病毒自身覆盖掉以下目录中的.mp3 .mp2 .avi .mpg .mpeg .mpe .mov .pdf .doc .xls .mdb .ppt .pps等十余种数据文件，并且无法恢复：

    C:\Kazaa\My Shared Folder
    C:\My Downloads
    C:\ProgramFiles%\Kazaa\My Shared Folder
    C:\ProgramFiles%\KaZaA Lite\My Shared Folder
    C:\ProgramFiles%\Bearshare\Shared
    C:\ProgramFiles%\Edonkey2000
    C:\ProgramFiles%\Morpheus\My Shared Folder
    C:\ProgramFiles%\Grokster\My Gorkster
    C:\ProgramFiles%\ICQ\Shared Files

    二 病毒在感染Office类型的文件时，会不断地将当前被感染的这些文档当做病毒邮件发送出去，造成计算机文档数据的严重泄密。