概述

病毒危害

病毒传播

技术特征

概述

蠕虫病毒

受影响系统：Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me

不受影响系统：Macintosh, Unix, Linux

病毒危害

1.发送大量邮件：感染后会向.WAB(Windows地址簿), .adc, r.db, .doc, .xls文件中的邮件地址发送大量病毒邮件；

2.修改文件：会感染 .HTM, .HTML, .EXE, .SCR文件。

病毒传播

From:<用户名>@yahoo.com或imissyou@btamail.net.cn

主题：[用户名]is coming!

附件：pp.exe

技术特征

该病毒既是一个网络共享、电子邮件蠕虫，又是一个文件感染型病毒，会利用自己的SMTP引擎向.WAB(Windows地址簿), .adc, r.db, .doc, .xls文件中的邮件地址发送大量病毒邮件。它同时会搜索所有本地及网络驱动器，并感染后缀为.htm, .html, .exe及.scr的文件。

病毒利用了IRAME及MIME漏洞，因此只要预览邮件时即会感染。运行后，它会：

1.创建C:％system％Runouce.exe（注意Runouce中的字母"U"）文件。之后，它的属性会被设置成隐藏、系统及只读。这使得用户无法在Windows Explorer（若是默认设置的话）中看到此文件。

2.添加Runonce C:WindowsSystemRunouce.exe至注册表

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中，使得Windows启动时病毒会自动运行。

3.利用自带的SMTP引擎向.WAB(Windows地址簿), .adc, r.db, .doc, .xls文件中的邮件地址发送附件为PP.exe的邮件。病毒使用的SMTP服务器是静态的，也就是指定的SMTP服务器没有运行时，病毒就无法传播。该SMTP服务器（btamail.net.cn）与以前W32.Chir@mm使用的是同一台。

此病毒感染HTML文件的方式与尼姆达的类似。首先在与HTML文件相同目录下创建一个Readme.eml。此文件是是病毒的MIME编码部分。之后，病毒会修改此HTML文件，使得HTML文件预览时会打开Readme.eml。此修改功能只有在启用JavaScript情况下有效。

病毒还会感染PE文件，它将自身依附在主文件的尾部，将尾部设置成可写并修改病毒体的入口点。从而，任何被感染文件执行时，此病毒会试图装载病毒副本、启动邮件程序。