病毒名稱
W97M_JIM.C
別名:
病毒特點
該病毒為Word 97宏病毒,它感染Word通用模板的ThisDocument和其他文檔檔案,病毒還通過Mirc複製,並竊取用戶的密碼。 在文檔檔案打開或關閉時,病毒對其進行感染,當訪問選單 “工具|宏”或查看VB代碼時,病毒還會刪除其代碼。
病毒首先查看檔案“C:\_vac.txt”是否存在,如果檔案存在,病毒中斷傳染程式並顯示一個對話框:“I guess you have what it takes.”,如檔案不存在,感染髮生,病毒首先使宏保護功能失效,接著感染未被感染的通用模板檔案。如果通用模板檔案已被感染,而活動的文檔未被感染,病毒就感染活動的文檔,並在模組ThisDocument的第55行插入另一個當前系統時間。
病毒查看C糟根目錄下是否存在config.dll,如果不存在,病毒創建【用戶名】.dll和 msdos.dll,並在C糟根目錄下創建config.dll。 病毒查看你的系統上是否裝有mIRC。如果存在,病毒編輯MIRC.INI,做以下的改變:UserID = MrJim and fserve = Off,並刪除SCRIPT.INI。接下來,病毒創建一個新的SCRIPT.INI,用以向你所在通道的用戶傳送被感染的當前系統檔案。 如果以下任何套用正在運行:ADDRESS BOOK, ICQMSGAPI WINDOW, SOCKETS WINDOW, SECTION WINDOW和 INTERNET EXPLORER,病毒會上傳檔案【用戶名】.dll和你的密碼檔案到ftp.fortunecity.com。
這樣,病毒的製造者就可以使用你的密碼和系統說明來訪問你的計算機。如果當前系統日期為2號,病毒執行有效載荷,將在活動文檔中插入以下內容: “Mr Jim/SeptiC/TI】 - Do you have what it takes to become an international bussiness man!?” in the Active document.”