Virus Chir.B

Efectos:

Chir.B realiza las siguientes acciones:

• Infecta ficheros con las siguientes extensiones: EXE, SCR, HTM y HTML.
• El día 1 de cada mes sobrescribe los primeros 4660 Bytes de los ficheros que tengan alguna de las siguientes extensiones ADC, R.DB, DOC y XLS.

Metodo de infección:

Chir.B crea los siguientes ficheros:

• RUNOUCE.EXE, en el directorio de sistema de Windows. Este fichero es una copia del gusano.
• README.EML, en aquellos directorios en los que Chir.B encuentra e infecta ficheros con las extensiones HTM y/o HTML. Este fichero contiene el código del gusano en formato MIME.

Chir.B crea la siguiente entrada en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  Runonce = %sysdir%\ runouce.exe
  donde %sysdir% es el directorio de sistema de Windows.
  Mediante esta entrada, Chir.B consigue ejecutarse cada vez que inicie Windows.

Metodo de propagación:

Chir.B llega oculto en un mensaje de correo electrónico escrito en inglés, y se envía automáticamente a todos los contactos de la Libreta de direcciones y de otros ficheros del ordenador afectado.

Los mensajes enviados por el gusano presentan las siguientes características:

• Remitente: uno de los siguientes:
  %nombre del remitente%@yahoo.com
  Imissyou@btamail.net.cn
• Asunto:
  %nombre del remitente% is coming!
• Contenido: el mensaje se encuentra vacío.
• Fichero adjunto:
  PP.EXE