이 바이러스는 Word97 문서와 템플릿을 감염 대상으로 한다.
감염된 문서가 열렸을 경우, 감염활동을 한다.
감염된 문서를 실행하면 소스 코드 자체를 "c:\f***.txt" 에 기록한다.
Normal.dot 매크로는 AutoExec 를 호출한다.
그 후, 또 다른 워드 세션을 시작한다.
두번째 워드 세션이 AutoExec 매크로를 실행한다.
매크로가 실행되면, 둘 또는 그이상의 워드 세션이 실행된다.
이후, 감염 활동을 시작하게 된다.
감염활동은 C: 드라이브내 문서를 찾게 되며, 직접적인 활동을 하는 감염자를 생성한다.
다양한 High-ASCII 문자셋을 변환한다.
임시 이름과 그이름 자체를 변경하여 문서에 새로 이름을 붙이게 되며,
비정확하게 다른 진행상 열려진 문서상의 문제를 회피한다.
그것은 또한 표시자로서 c:\temp.dat 를 생성한다.
만약 c:\temp.dat 이 존재하면, 아랫경로에 또한 존재한다.
명백하게 이용가능한 문서를 찾는동안은 C:\temp.dat 존재한다.
결과적으로 감염루틴은 이미 감염된 문서를 두번째 열때 발생하는 것은 아니다.
Log 파일은 "moody.dat"라 불리며, 감염된 문서가 열릴때마다 시간의 숫자 카운터를 포함한다.
각각의 시간에 열려진 감염된 문서는 다음의 라인이 더해진다.
"Flitnic has enjoyed your system at: " [Date] ", " [Time]
moody.dat 내에 100개의 라인이 추가되면 다음의 감염 활동을 수행한다.
어플리케이션의 캡션을 변경한다.
"Now you''re dead my son!"
모든 작업들 (Word, 와 관련된 어떤것이든..)이 종료된다.
"KILLER.EXE" 라 불리는 파일에 실행되지 않는 W95/CIH 의 변형이 기록된다.
또한 다음과 같은 메시지 박스를 출력한다.
"Do you know Flitnic? No? But now you will remember him! I''%O¬""_%>'' sure! He has asked CIH to crash your system!"
이것은 KILLER.EXE 파일이 실행될 때 예정된 활동불가능한 W95/CIH.1035 의 샘플이 결정된다.
예방 및 수동조치방법
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com
