近日，腾讯电脑管家发明一个可疑脚本被创建为启动项，通过分析和搜索相关信息，发明大量网友反馈，重现了中毒场景。该蠕虫流传道理如下：
1， 蠕虫作者上传带蠕虫的魔兽舆图，并以该舆图创建房间吸引其他玩家进入房间游戏；
2， 玩家进入房间后，就会自动下载该舆图，并进行游戏后，触发魔兽舆图里恶意脚本。脚本操作缝隙告成在启动目录创建loil.bat脚本文件；
3， 当玩家重启电脑后，Loil.bat获得执行，通过脚本下载loli.exe执行；
4， Loli.exe把玩家魔兽目录下的正常舆图文件全部传染植入蠕虫。玩家在不知情的情况下，会使用这些被传染的舆图创建游戏，传染更多玩家；
5， 接着loli.exe释放魔兽插件War3_UnHack.asi。每当魔兽启动时，会自动加载该插件；
6， 玩家每次启动魔兽后War3_UnHack.asi获得执行权，又从头下载loil.exe蠕虫，使得该病毒难以删除。

详细的缝隙道理，可参照: ?pn=1
“萝莉”蠕虫详细分析
一、整个蠕虫的大抵运行流程如下图：

1、 魔兽争霸3游戏舆图文件由多个部分构成，此中舆图里的逻辑控制代码部份由war3map.j控制。该脚本文件由魔兽争霸3措施语言JASS编写而成，是舆图文件里最重要部份之一。

2、舆图中的脚本war3map.j文件被植入恶意脚本，该恶意脚本操作JASS写文件缝隙，在游戏开始后，创建loli.bat文件到系统启动目录里。当玩家第二天从头启动电脑后，该bat文件就获得执行机会。

3，loli.bat的成果是将脚本代码写入到 loli.vbs 文件中，loli.vbs是颠末加密措置惩罚惩罚，解密后的loli.vbs，其成果是下载一个loli.bat到c:\loli.bat

下载下来的c:\loli.bat颠末混淆措置惩罚惩罚，包孕在文件头部添加unicode标识使得用文本编纂器打开后泛起乱码，其成果是删除c:\loli.vbs，并创建c:\loli.vbe

c:\loli.vbe颠末编码，解码儿女码如下图所示

解密后的c:\loli.vbe脚本内容如下，其成果是下载loli.exe运行

二、loli.exe主要卖力下载安置游戏的蠕虫插件，传染玩家正常舆图文件植入恶意脚本
1、下载插件（War3_UnHack.asi）。该插件会跟着魔兽争霸的启动而加载运行。主要用作下载木马，颁布垃圾动静等。



2、删除loli.bat文件

3、改削魔兽争霸w3x格局的舆图文件里的脚本控制模块war3map.j植入恶意代表码，导致该蠕虫可能在玩家之间大量流传。