W32.Chir.B@mm是中国黑客的变种,,它不但感染本机的文件,还能感染网络中的共享文件夹.病毒是利用了IE的IFRAME和MIME的漏洞,所以当你预览时病毒就已经运行。
当病毒运行后,病毒会:
1:在c:\windows\system\或c:\winnt\system32下产生一个Runoce.exe的文件,文件的属性是只读和隐藏的。
2:病毒会添加键值
Runonce c:\windows\system\Runouce.exe或
Runonce c:\winnt\system32\Runouce.exe
到注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中,使得机器一启动时,病毒就自动运行。
3:病毒利用一个固定的SMTP服务器(btamail.net.cn)发送邮件,病毒会搜索受感染电脑里的.wab,.adc,.db,.doc,.xls文件中的邮件地址向外发信。
邮件的特征:
From: <username>@yahoo.com 或imissyou@btamail.net.cn
主题: <username> is coming!
附件: PP.exe
4:该病毒有极强的局域网传染功能。能感染.htm,.html,.exe,.scr文件。
病毒感染htm文件和W32/Nimda.A@mm(尼姆达)相似,病毒通过搜索网上邻居中的可写文件夹,然后在每个可写文件夹中都生成一个以计算机器名命名的eml文件,并且该eml文件是有自启动漏洞的eml文件
