W32.Chir.B@mm – file-fertőző féregvíus

A fertőzött e-mail tulajdonságai

Feladó: @yahoo.com vagy imissyou@btamail.net.cn
Tárgy: is coming!
Csatolmány: PP.exe

A féreg paraméterei

Felfedezésének ideje: 2002. július 29.
Védekezés elkészültének ideje: 2002. július 30.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 10.748 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– az IFRAME és a MIME exploitok kihasználásával még az attachment futtatása előtt, előnézeti vagy olvasási fázisban is képes aktivizálódni, az ezt meggátló javítás letölthető a kapcsolodó linkek Internet Explorer patch linkjére kattintva
– a Windows System könyvtárába másolja magát runouce.exe néven (Hidden, System, Read-Only attribútummal, hogy a rendszer alapbeállításait használók ne vegyék észre jelenlétét)
– hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz a Runonce C:/WINDOWS/SYSTEM Runouce.exe string értéket
– a Windows Address Bookban és az összes .adc, r.db, .doc, és .xls file-okban található összes e-mail címre megpróbálja magát továbbítani saját SMTP-motorja segítségével, a fent említett karakterisztikával
– a megfertőzött PC-n és a helyi hálózaton található meghajtókon levő, .htm, .html, .exe, és .scr kiterjesztésű file-okat megfertőzi úgy, hogy a gazdaállomány végéhez fűzi saját magát
– egyszerre csak egy vírus létezhet a memóriában, ennek érdekében létrehozza a ChineseHacker-2 mutexet