§ 病毒列表

病毒名称：Sircam

别名：W32.Sircam，W32/Sircam，I-Worm.Sircam，I-Worm/Sircam，W32/SirCam@mm

§ 病毒特点：

该病毒为一通过邮件系统传播的网络蠕虫。病毒的主体长度为137216字节，但当它作为邮件的附件时，因为将问档附加到病毒体上，所以长度要大一些。

带有病毒的邮件可能是英文或西班牙文的，邮件的格式如下：

主题：【 无扩展名的文件名（随机）】

附件：【 与主体相同，但多了双扩展名 】

主体：（英文）

Hi! How are you?

I send you this file in order to have your advice

or I hope you can help me with this file that I send

or I hope you like the file that I sendo you

or This is the file with the information that you ask for

See you later. Thanks

主体：（西班牙文）

Hola como estas ?

Te mando este archivo para que me des tu punto de vista

or Espero me puedas ayudar con el archivo que te mando

or Espero te guste este archivo que te mando

or Este es el archivo con la informaci que me pediste

Nos vemos pronto, gracias.

一旦打开邮件的附件，该文档会被拷贝到C:\\RECYCLED目录下，接着病毒会复制自身到C:\\RECYCLED下，名为SirC32.exe，并创建以下键值：

HKCR\\exefile\\shell\\open\\command\\Default="C:\\recycled\\SirC32.exe" "%1" %*

该键值使得所有exe文件运行时都加载该病毒。

病毒还将自身复制到Windows System目录下，名为Scam32.exe，并修改注册表：

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\Driver32=C:\\WINDOWS\\SYSTEM\\SCam32.exe

使得每次系统启动后，自动执行该蛀虫的主体部分。

注册表修改成功后，病毒利用自己特殊的SMTP给WINDOWS地址簿中的用户和INTERNET缓存中能找到的所有邮箱地址发送带有病毒附件的邮件。

病毒从“我的文档”中，选择一个DOC、XLS或ZIP文件，将被选中的文件附在病毒文件后，再加上第二个扩展名（PIF、LNK、BAT、EXE、COM中的一个），并保存到“回收站”文件夹中，该文件将被病毒用来向选中的EMAIL地址发送。

病毒还创建以下键值：HKLM\\Software\\Sircam，用于存放相关的一些信息，如蠕虫被执行的次数，发送者的邮件地址，SMTP信息。

该病毒也通过网络共享感染其它系统，一旦发现可读写的网络邻居，就会将该系统Windows目录下的rundll32.exe用病毒的拷贝来替代，来文件被改名为run32.exe。之后，批处理文件也被改动，增加了：

@win\\recycled\\sirc32.exe，以便每次系统启动时，蠕虫被运行。

除了通过邮件系统传播，该病毒在10月16日删除系统盘的文件。还会在系统的回收站中反复写入文件，直到硬盘无剩余空间。

• 《马可波罗回香都》
• 《马大帅III》
• 《马大帅》
• 《马太效应与木桶效应》
• 《马太福音》
• 《马家大院的缅桂香》
• 《马家爵身后》
• 《马尔科姆 X》
• 《马尔科姆·艾克斯》
• 《马嵬坡》
• 《马帮旅行》
• 《马所拉》
• 《马拉松》
• 《马拉松》
• 《马斯洛传--人的权利的沉思(修订版)》
• 《马斯特里赫条约》
• 《马来亚海盗》
• 《马来由史话》
• 《马氏文通》
• 《马永贞》
• 《马灯传奇》
• 中国人民解放军三零二医院
• 中国人民解放军体育代表队
• 中国人民解放军全军文艺会演
• 中国人民解放军军乐团