基本介紹
- 中文名:W32.Chir.B@mm
- 類別:蠕蟲病毒
- 性質:感染型病毒
- 受影響系統:Wd 95/98/NT/2000/XP/Me
- 病毒危害:信箱
- 不受影響系統:Macintosh, Unix, Linux
影響力,病毒危害,病毒傳播,技術特徵,
影響力
受影響系統:Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
不受影響系統:Macintosh, Unix, Linux
病毒危害
1.傳送大量郵件:感染後會向.WAB(Windows地址簿), .adc, r.db, .doc, .xls檔案中的郵件地址傳送大量病毒郵件;
2.修改檔案:會感染 .HTM, .HTML, .EXE, .SCR檔案。
病毒傳播
From:雅虎信箱或bta信箱
主題:[用戶名]is coming!
附屬檔案:pp.exe
技術特徵
病毒利用了IRAME及MIME漏洞,因此只要預覽郵件時即會感染。運行後,它會:
1.創建C:%system%Runouce.exe(注意Runouce中的字母"U")檔案。之後,它的屬性會被設定成隱藏、系統及唯讀。這使得用戶無法在Windows Explorer(若是默認設定的話)中看到此檔案。
2.添加Runonce C:WindowsSystemRunouce.exe至註冊表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中,使得Windows啟動時病毒會自動運行。
3.利用自帶的SMTP引擎向.WAB(Windows地址簿), .adc, r.db, .doc, .xls檔案中的郵件地址傳送附屬檔案為PP.exe的郵件。病毒使用的SMTP伺服器是靜態的,也就是指定的SMTP伺服器沒有運行時,病毒就無法傳播。該SMTP伺服器(btamail.net.cn)與以前W32.Chir@mm使用的是同一台。
此病毒感染HTML檔案的方式與尼姆達的類似。首先在與HTML檔案相同目錄下創建一個Readme.eml。此檔案是是病毒的MIME編碼部分。之後,病毒會修改此HTML檔案,使得HTML檔案預覽時會打開Readme.eml。此修改功能只有在啟用JavaScript情況下有效。
病毒還會感染PE檔案,它將自身依附在主檔案的尾部,將尾部設定成可寫並修改病毒體的入口點。從而,任何被感染檔案執行時,此病毒會試圖裝載病毒副本、啟動郵件程式。
