w97m_jim_c@mm
病毒名称:W97M_JIM.C
别名:
病毒特点:
该病毒为Word 97宏病毒,它感染Word通用模板的ThisDocument和其他文档文件,病毒还通过Mirc复制,并窃取用户的密码。 在文档文件打开或关闭时,病毒对其进行感染,当访问菜单 “工具|宏”或查看VB代码时,病毒还会删除其代码。
病毒首先查看文件“C:\_vac.txt”是否存在,如果文件存在,病毒中断传染程序并显示一个对话框:“I guess you have what it takes.”,如文件不存在,感染发生,病毒首先使宏保护功能失效,接着感染未被感染的通用模板文件。如果通用模板文件已被感染,而活动的文档未被感染,病毒就感染活动的文档,并在模块ThisDocument的第55行插入另一个当前系统时间。
病毒查看C盘根目录下是否存在config.dll,如果不存在,病毒创建[用户名].dll和 msdos.dll,并在C盘根目录下创建config.dll。 病毒查看你的系统上是否装有mIRC。如果存在,病毒编辑MIRC.INI,做以下的改变:UserID = MrJim and fserve = Off,并删除SCRIPT.INI。接下来,病毒创建一个新的SCRIPT.INI,用以向你所在通道的用户发送被感染的当前系统文件。 如果以下任何应用正在运行:ADDRESS BOOK, ICQMSGAPI WINDOW, SOCKETS WINDOW, SECTION WINDOW和 INTERNET EXPLORER,病毒会上传文件[用户名].dll和你的密码文件到ftp.fortunecity.com。
这样,病毒的制造者就可以使用你的密码和系统说明来访问你的计算机。 如果当前系统日期为2号,病毒执行有效载荷,将在活动文档中插入以下内容: “Mr Jim/SeptiC/TI] - Do you have what it takes to become an international bussiness man!?” in the active document.”