Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Chir.B | |
Peligrosidad Daño Propagación |
De un vistazo
| |
| Nombre común: | Chir.B |
| Nombre técnico: | W32/Chir.B |
| Peligrosidad: | Baja |
| Alias: | I-Worm.Runouce.b,, Win32/ChiHack, PE_CHIR.B |
| Tipo: | Virus |
| Efectos: | Sobrescribe ficheros con ciertas extensiones y aprovecha una vulnerabilidad de Internet Explorer. |
| Plataformas que infecta: |
Windows 2003/XP/2000/NT/ME/98/95 |
| Fecha de detección: | 01/08/2002 |
| Detección actualizada: | 17/06/2010 |
| Estadísticas | No |
Protección proactiva: | Sí, mediante las Tecnologías TruPrevent
|
Descripción Breve | |
Chir.B es un gusano que llega en un mensaje de correo electrónico escrito en inglés. El gusano se activa automáticamente con tan sólo visualizar el mensaje a través de la Vista previa de Outlook, o bien al abrirlo. Para ello, aprovecha una vulnerabilidad de Internet Explorer 5.01 y 5.5 (Exploit/Iframe) que permite la ejecución automática de los ficheros incluidos en los mensajes de correo. Chir.B es además capaz de aprovechar una segunda vulnerabilidad, conocida como Exploit/MIME, que también provoca la ejecución automática de los ficheros adjuntos a mensajes de correo electrónico. Chir.B infecta los ficheros que tengan las siguientes extensiones: EXE, SCR, HTM y HTML. Además, Chir.B tiene efectos destructivos, ya que el día 1 de cada mes sobrescribe los primeros 4660 Bytes de los ficheros que tengan alguna de las siguientes extensiones ADC, R.DB, DOC y XLS. |
Síntomas Visibles | |
Chir.B es fácil de reconocer, puesto que llega al ordenador afectado en un mensaje escrito en inglés con las siguientes características: - Remitente: uno de los siguientes:
%nombre del remitente%@yahoo.com
Imissyou@btamail.net.cn - Asunto:
%nombre del remitente% is coming! - Contenido: el mensaje se encuentra vacío.
- Fichero adjunto:
PP.EXE
|
Detalles técnicos
Efectos |
Chir.B realiza las siguientes acciones: - Infecta ficheros con las siguientes extensiones: EXE, SCR, HTM y HTML.
- El día 1 de cada mes sobrescribe los primeros 4660 Bytes de los ficheros que tengan alguna de las siguientes extensiones ADC, R.DB, DOC y XLS.
|
Metodo de Infección
Chir.B crea los siguientes ficheros:
RUNOUCE.EXE, en el directorio de sistema de Windows. Este fichero es una copia del gusano.
README.EML, en aquellos directorios en los que Chir.B encuentra e infecta ficheros con las extensiones HTM y/o HTML. Este fichero contiene el código del gusano en formato MIME.
Chir.B crea la siguiente entrada en el Registro de Windows:
Método de Propagación
Chir.B llega oculto en un mensaje de correo electrónico escrito en inglés, y se envía automáticamente a todos los contactos de la Libreta de direcciones y de otros ficheros del ordenador afectado.
Los mensajes enviados por el gusano presentan las siguientes características:
Remitente: uno de los siguientes:
%nombre del remitente%@yahoo.com
Imissyou@btamail.net.cn
Asunto:
%nombre del remitente% is coming!
Contenido: el mensaje se encuentra vacío.
Fichero adjunto:
PP.EXE
