W32.Chir.B@mm
蠕蟲病毒
受影響系統:Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
不受影響系統:Macintosh, Unix, Linux
病毒危害:
1.傳送大量郵件:感染後會向.WAB(Windows地址簿), .adc, r.db, .doc, .xls檔案中的郵件地址傳送大量病毒郵件;
2.修改檔案:會感染 .HTM, .HTML, .EXE, .SCR檔案。
病毒傳播:
From:<用戶名>@yahoo.com或[email protected]主題:【用戶名】is coming!
附屬檔案:pp.exe
技術特徵
該病毒既是一個網路共享、電子郵件蠕蟲,又是一個檔案感染型病毒,會利用自己的SMTP引擎向.WAB(Windows地址簿), .adc, r.db, .doc, .xls檔案中的郵件地址傳送大量病毒郵件。它同時會搜尋所有本地及網路驅動器,並感染後綴為.htm, .html, .exe及.scr的檔案。
病毒利用了IRAME及MIME漏洞,因此只要預覽郵件時即會感染。運行後,它會:
1.創建C:%system%Runouce.exe(注意Runouce中的字母"U")檔案。之後,它的屬性會被設定成隱藏、系統及唯讀。這使得用戶無法在Windows Explorer(若是默認設定的話)中看到此檔案。
2.添加Runonce C:WindowsSystemRunouce.exe至註冊表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中,使得Windows啟動時病毒會自動運行。
3.利用自帶的SMTP引擎向.WAB(Windows地址簿), .adc, r.db, .doc, .xls檔案中的郵件地址傳送附屬檔案為PP.exe的郵件。病毒使用的SMTP伺服器是靜態的,也就是指定的SMTP伺服器沒有運行時,病毒就無法傳播。該SMTP伺服器(btamail.net.cn)與以前W32.Chir@mm使用的是同一台。
此病毒感染HTML檔案的方式與尼姆達的類似。首先在與HTML檔案相同目錄下創建一個Readme.eml。此檔案是是病毒的MIME編碼部分。之後,病毒會修改此HTML檔案,使得HTML檔案預覽時會打開Readme.eml。此修改功能只有在啟用JavaScript情況下有效。
病毒還會感染PE檔案,它將自身依附在主檔案的尾部,將尾部設定成可寫並修改病毒體的入口點。從而,任何被感染檔案執行時,此病毒會試圖裝載病毒副本、啟動郵件程式。
