| 词条 | Sircam病毒 |
| 释义 | Sircam病毒Sircam病毒是一种首发于英国的恶性网络蠕虫病毒,具有较高的危害程度,主要通过电子邮件附件进行传播。在电子邮件中该病毒表现为:正文是一段首尾两句不变的英文或西班牙文字,邮件的附件和主题一样,并在后面加上了双扩展名,其扩展名称可能是:"PIF"、 "LNK"、"BAT"、"EXE"或"COM" 五种中的任意一种。 § 病毒简介 病毒名称:W32.Sircam.Worm@mmSircam病毒 别名: W32/SirCam@mm, Backdoor.SirCam 蠕虫W32.Sircam.Worm@mm自身包含SMTP引擎,感染方式有点类似W32.Magistr.Worm。 该蠕虫目前已经被列为危险级病毒。 触发日期:10月16日 § 病毒行为 蠕虫将染毒机器中产生的随机文档隐藏到自身代码中; 蠕虫将删除C盘上的所有文件及文件夹,仅当系统日期格式为 D/M/Y(日/月/年); 每次启动时蠕虫通过向c:\\recycled\\sircam.sys文件中添加文本使硬盘上的空余空间被充满, 文本中包含下面的字符串: 【SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX】 或 【SirCam Version 1.0 Copyright ¬ 2000 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico】; § 传播方式 1)邮件:从两种渠道获取邮件地址: -----按照注册表HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Explorer\\Shell Folders\\Startup\\Cache 指定的路径搜索下列文件:sho*., get*., hot*., *.htm并将邮件地址拷贝到 %Windows%\\sc??.dll (其中?代表随机的数字或字母) -----搜索所有驱动器,寻找*.wab文件( Windows地址簿)并拷贝其中的邮件地址。 邮件内容: 主题:随机,但与附件的文件名相同。 消息主体:第一行和最后一行不变,其他部分随机。 英文: First line: Hi! How are you? I send you this file in order to have your advice I hope you can help me with this file that I send I hope you like the file that I send you This is the file with the information that you ask for Last line: See you later. Thanks 西班牙文: First line: Hola como estas ? Te mando este archivo para que me des tu punto de vista Espero me puedas ayudar con el archivo que te mando Espero te guste este archivo que te mando Este es el archivo con la informacion que me pediste Last line: Nos vemos pronto, gracias. 附件: SirC32.exe Tech Specs and Financials.doc.com 2)共享驱动器:搜索所有共享驱动器将蠕虫复制到该驱动器中。并执行: ------将自身拷贝到\\recycled\\sirc32.exeSircam病毒 ------在\\autoexec.bat文件中添加一行: "@win \\recycled\\sirc32.exe" ------复制文件\\Windows\\rundll32.exe到\\Windows\\run32.exe ------用本地文件 c:\\recycled\\sirc32.exe替换\\Windows\\rundll32.exe 3) 其他方式 1.蠕虫复制自身到 %TEMP%\\ 、 C:\\recycled\\其中包含附件中的文档(doc,xls.zip)。 2.拷贝自身到C:\\recycled\\sirc32.exe 、 %System%\\scam32.exe。 3 添加注册键的值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices 值:Driver32=%System%\\scam32.exe 创建注册键HKEY_LOCAL_MACHINE\\Software\\SirCam 其中包含下列值: FB1B - 保存蠕虫在recycled目录中的文件名。 FB1BA -保存 SMTP的 IP地址。 FB1BB - 保存发送者的邮件地址。 FC0 - 保存蠕虫已经执行的次数。 FC1 - 保存蠕虫的版本。 FD1 - 保存已经执行的蠕虫文件名。 设置注册键HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command 为 C:\\recycled\\sirc32.exe "%1" %*" 作用是当任何一个EXE文件运行时,都会执行蠕虫。 4、按照注册表 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Startup\\Personal HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Startup\\Desktop 指定的路径搜索下列类型的文件 .DOC, .XLS, .ZIP, 和 .EXE,找到匹配的文件后将添加蠕虫,新文件将作为邮件附件被发送。 5、当蠕虫执行8000次后,会停止执行。 § 解决办法 1 在windows相应的系统目录下,把REGEDIT.EXE 的文件名改为REGEDIT.COM,然后执行REGEDIT.COM, 修改上述注册表项。(也可使用scanreg命令自动恢复备份注册表文件,但要确定所恢复的注册表数据是在感染此病毒之前备份的)Sircam病毒 必须修改系统的注册表:修改系统注册表的命令是REGEDIT.EXE,可以从系统的运行命令中执行; HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices删除 其中的名称为Driver32的键值,该键值的值是:Scam32.exe (前面还有WINDOWS的安装目录); HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command\\(default) HKEY_LOCAL_MACHINE \\Software\\Classes\\exefile\\shell\\open\\command\\(default) 这两者必须修改成为系统的原来的数值:""%1"%*" 而该病毒增加的数值:HKEY_LOCAL_MACHINE\\Software\\SirCam 必须整个删除; 一般在该项目下面会含有以下的数值: FB1B/FB1BA/FB1BB/FC0/FC1/FD1。 FB1BA存放的是SMTP的IP地址; FB1BB存放的是发送者的EMAIL地址; FC0是该网络蠕虫程序被执行的次数; 2 使用干净DOS软盘启动机器。 3 执行KVD3000.EXE或KV3000.EXE, 查杀所有硬盘,查到部分有毒文件时会先问你要删除吗?请按“Y”键删除病毒体。 4 KV3000清除带毒的DOC、XLS、ZIP文件后,用户应再将文件原来的扩展名改回去。 5 删除所有报告为I-WORM/SIRCAM.A的网络蠕虫程序,注意必须将系统的“回收站”同时清空; 6 重新启动计算机; 7 进入DOS模式: 一般的是:c:\\windows>;执行如下的命令: cd\\Recycled c:\\Recycled>attrib -r sirc32.exe c:\\Recycled>del sirc32.exe c:\\Recycled>cd .. c:\\>cd windows c:\\windows>attrib -r scam32.exe c:\\windows>del scam32.exe 对于网络邻居的计算机的感染,可以在受感染的计算机上的文件 \\windows\\run32.exe必须改名为rundll32.exe; 同时删除系统的autoexec.bat文件中的增加的项目: 删除:@win \\Recycled\\SirC32.exe ; 同时将在系统回收站中的文件SirC32.exe § 相关报道 “Sircam”蠕虫病毒开始肆虐日本 在Windows 9x中传播的计算机病毒“W32/Sircam”受害范围正在扩大。自从2001年7月17日前后首次被发现以Sircam病毒来,来自世界各国的受害报告接踵而至,用户及防病毒软件公司已经到了非行动起来不可的境地。目前Trendmicro公司已将Sircam病毒的危险列为最高等级,同时美国的计算机安全监视机构CERT Coordination Center也于美国当地时间7月25日发出了病毒警告。 Sircam病毒可以任意发送被感染的个人计算机内的文件,并可以删除该个人计算机硬盘上的内容。由于该病毒可以使用电子邮件和网络文件夹自我复制,因此其感染力非常强。 被Sircam感染的邮件的正文处用英语或者西班牙语书写。当使用英语时,其内容的开头为“Hi! How are you?”,之后为“I send you this file insgroupsto have your advice”及“I hope you like the file that I sendo you”等短语中随机选取的句子,最后以短句“See you later. Thanks”结束。Sircum病毒的本身将以“SirC32exe”或者“任意文字.doc.com”等文件名添加在被感染文件中。如果运行此文件Sircum将开始感染,但在感染DOC文件时由于用户可以正常打开Word文件,因此难以觉察到被病毒感染。 Sircam的感染过程如下。首先它将自我复制到用户的系统上。具体地说,该病毒将把自身复制到C:Recycled和Windows的系统文件夹下。然后,就在找到的网络计算机上进行自我复制,之后以邮件的形式将自身和系统上的文件发送出去。 Sircam之所以泛滥的原因在于,该病毒不需要利用用户使用的邮件客户端程序,而是可以将自身作为SMTP的客户端程序发送邮件进行感染。“该病毒在取得用户使用的Outlook Express及Outlook的SMTP的信息之后,按照设定发送邮件”(Symantec)。另外,“该病毒还可以使用预先设置在因特网上的SMTP服务器发送邮件”(Trendmicro)。 Sircam通过两种方法取得发送邮件的地址。一种是通过扩展名为Wab(Windows Address Books)的Windows内的地址簿。另一种是通过保存Web浏览器浏览过的HTML文件的缓冲区。“该病毒将向公告板等Web浏览器浏览过的所有网页的地址发送邮件”(日本计算机安全研究中心的远藤基主任研究员)。可以说这是该病毒无条件传播的一个理由。然后,Sircam在自身嵌入用户桌面及我的文档中的文件夹内的扩展名为“doc”、“xls”、“zip”、“exe”的文件,并作为附加发送。 另外,据Symantec称“该病毒将以33分之1的概率向c: ecycledsircam.sys中添加文本,直到耗尽硬盘的所有空间,并在每年的10月16日以20分之1的概率删除C盘中的全部文件和目录”。 如果运行了邮件的附件,将会引起前面提到的感染,之后将遭到该病毒的侵害。首先,它将改写本地的注册表,在运行任意的EXE文件时将执行复制到回收站内的Sircam。“由于带有回收站的隐藏属性的文件在DOS模式下看不到,而且几乎所有的杀毒软件都不会扫描回收站”(日本计算机安全研究中心的远藤)。另外,网络计算机上的系统重启或者调出任意的DLL时,都将会导致Sircam的连锁执行。 Sircam病毒 另外,Trendmicro及Symantec等各防病毒软件公司在Web站点上公布了杀除Sircam病毒的工具。已经安装了防病毒软件的用户应尽快下载数据的最新版本,另外尽量不要打开邮件的附件。 SirCam病毒16日再次爆发 病毒危害仍不能低估 2001年7月份首次在互联网上出现的SirCam病毒预计将于10月16日再次爆发。 这种病毒据信可以窃取受感染计算机系统中的个人文件并将这些文件在互联网上进行传播。在一年中的某一天,这种病毒还可以随机选择一些受感染的计算机然后将其硬盘上储存的内容全部删除。 安全专家称,SirCam现已成为互联网上最臭名昭著的病毒之一。据称,这种病毒以电子邮件的形式进入用户的计算机系统当中,并假装向用户征求咨询意见,一旦用户打开带有病毒的电子邮件,这种病毒就随机窃取并传播计算机硬盘驱动器中的个人文件。 业内出版物称,根据每个月进行的抽样调查,这种病毒毒性很强,而且高居连网计算机容易感染的头号病毒。据称,等到10月16日这一天,每20台被感染的计算机当中就有1台可能面临硬盘内容被删除的危险。 为此,网络专家敦促所有互联网用户尽可能在10月16日之前做好防范SirCam病毒的一切准备。 § 相关下载 金山毒霸SirCam病毒专杀工具 http://www.duba.net/tool/zhuansha/3.shtml 瑞星Sircam病毒的修复工具 http://download.2u.com.cn/detail/3/26972.shtml |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。