警惕每月一号发威的新病毒PE/CHIR.B
千龙科技 　 2002-08-15 10:30:49

　　病毒名字：PE/CHIR.B
　　有效系统：Windows
　　病毒种类：Worm
　　病毒大小：6,652 Bytes
　　病毒别名：CHIR.B, Win32/Chir.Worm
　　
　　近日，江民反病毒监测小组发现能够在每月一号覆盖文件的新病毒，据分析这个蠕虫只能在被感染系统安装了存在安全漏洞的Microsoft Internet Explorer 5.01 和5.5.两种版本的时候才会发作。在开始执行时，这个蠕虫会不停地把自己作为新的进程打开，因此，它会消耗内存资源，导致被感染的主机系统处于挂起状态。
　　
　　蠕虫病毒会把一个可执行文件RUNOUCE.EXE放置到系统目录下，然后创建它的一个子线程，并把自己注册为系统进程。这个子线程创建了一个注册表链接点，目的是每当系统启动时就自动执行自己。
　　
　　HKEY_LOCAL_MACHINESoftwareMicrosoft
　　WindowsCurrentVersionRun
　　Runouce = "%System%RUNOUCE.EXE"
　　
　　然后，检查当前的驱动器是可移动的，远程的，固定的，还是RAM硬盘，如果是其中的一个，就搜索文件并感染。它把README.EML的几个复制文件放到所有的文件夹和子文件夹下，这个复制文件实际上是蠕虫的UUEncoded格式的加密文本文件。
　　
　　感染文件：
　　
　　蠕虫会感染具有如下扩展名的文件：EXE 、SCR 、HTM 、HTML
　　为了防止重复感染，这个蠕虫会检查每个要感染的目标文件的前两个字节的内容，如果是0xE860的话，这两个字节的内容也就是蠕虫的第一个字节中的内容，它就不会感染这个目标文件，否则，就把自己的代码附加到目标文件的尾部。
　　
　　破坏后果：
　　
　　它感染文件的手法和PE_NIMDA.A病毒的感染手法几乎一样，附加一个脚本到将要打开的放置到被感染主机上的README.EML文件中，插入的脚本文件叫做JS_NIMDA.A。在每月的一号，这个蠕虫会覆盖掉具有如下扩展名的文件的前1234个字节的内容：ADC 、R.DB 、DOC 、XLS
　　
　　带毒邮件特征：
　　
　　具有如下特征的电子邮件到所有从被感染主机上的.WAB地址簿文件中发现的地址中，目的无非是传播繁殖自己：
　　From: imissyou@btmail.net.cn
　　主题： is comming!
　　正文：
　　附件：PP.EXE
　　
　　此病毒目前已经能被江民《KV3000杀毒》查杀，升级反病毒软件最新病毒库能够防止该病毒进行感染。