W32/Chir-B

Vea la información (en inglés) para desinfectar archivos ejecutables.

Vea la información (en inglés) para desinfectar virus de archivo ejecutable de Windows.

W32/Chir-B es un gusano de email y virus de archivos ejecutables EXE y archivos HTM/HTML.

Como gusano, se envía a todas las direcciones almacenadas en la libreta de direcciones de Windows y a las direcciones encontradas en archivos *.adc, *r.db, *.doc, and *.xls en un email con las siguientes características:

De: <usuario>@yahoo.com o imissyou@btamail.net.cn
Asunto: <usuario> is comming!
Archivo adjunto: Nombre del archivo infectado.

El mensaje estará en blanco.

El gusano se aprovecha de la vulnerabilidad Iframe y MIME que permiten ejecutar archivos al previsualizar el mensaje.

Al ejecutarse, el virus se copiará en la carpeta System de Windows con el nombre runouce.exe y modifica la siguiente clave del registro para activarse en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Runonce

El virus vigilará esta clave para que no sea modificada.

W32/Chir-B buscará archivos HTM y HTML en el equipo y en unidades de red. En cada carpeta con archivos de este tipo se creará un archivo llamado readme.eml y los archivos serán modificados con código en JavaScript que intentará abrir readme.eml, que contiene una copia en base64 del virus.

En el caso de unidades de red, el archivo readme.eml puede estar acompañado por otro igual con el nombre <nombre del equipo>.eml.

El virus también infecta archivos ejecutables Windows, aunque no dentro de carpetas "wind*" o "winn*". Es decir, archivos dentro de los directorios Windows o Winnt no serán infectados.

El día uno del mes, W32/Chir-B sobrescribirá los primeros 1234 bytes de archivos *.adc, *r.db, *.doc y *.xls con basura.

W32/Chir-B emplea una técnica por el que se reiniciará si se detiene su ejecución.