W32.Chier@mm – elrontott víruskóddal

A W32.Chier@mm saját SMTP-motorral rendelkezik, ám furcsa sajátossága, hogy amennyiben ez a speciális SMTP-szerver nem fut, akkor a vírus más módon nem képes terjedni.

A fertőzött e-mail tulajdonságai

Feladó: @hotmail.com vagy iloveyou@btamail.net.cn
Tárgy: Hi, i am
Csatolmány: p.exe, mérete: 10.799 byte
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me

A már korábban felbukkant IFRAME és MIME biztonsági réseket egyaránt megpróbálja kihasználni működéséhez. Mivel ezek segítségével akár előnézetben is képes aktiválódni a vírus, ezért nincs is szükség a fertőzött e-mail tartalmának megtévesztő megfogalmazására.

Az alábbi események következnek be aktivizálódása esetén

– a Windows System könyvtárába másolja magát runouce.exe néven (Hidden, System, Read-Only attribútummal, hogy a rendszer alapbeállításait használók ne vegyék észre jelenlétét)
– hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz a Runonce C:/WINDOWS/SYSTEM Runouce.exe string értéket
– a Windows Address Bookban található összes e-mail címre megpróbálja magát továbbítani saját SMTP-szervere segítségével, a fent említett levélformátumban
– helyi hálózat után kutat és amennyiben talál, megkísérli elérni a helyi számítógépeken levő file-okat, bár a hibásan létrehozott kód miatt nem módosítja egyiket sem

A féreg eltüntetése a System könyvtárban található runouce.exe letörlésével valamint a Registry-be történt bejegyzés megszüntetésével érhető el. Ezek után érdemes a Microsoft biztonsági javításokkal foglalkozó webhelyét felkeresni és az összes, hiányzó frissítést letölteni.