“W32.Sircam.Worm”病毒是一种首发于英国的恶性网络蠕虫病毒，具有较高的危害程度，主要通过电子邮件附件进行传播。在电子邮件中该病毒表现为：正文是一段首尾两句不变的英文或西班牙文字，邮件的附件和主题一样，并在后面加上了双扩展名，其扩展名称可能是："PIF"、 "LNK"、"BAT"、"EXE"或"COM" 五种中的任意一种。

Sircam病毒简介(一)(病毒名称 其他信息 病毒行为 病毒传播 行为分析)

Sircam病毒简介(二)(目前状况 病毒详情)

解决办法

再次爆发 危害仍不能低估

美FBI全球追踪Sircam与红色代码病毒制造者(四千探员全球追踪 电脑杀手难寻踪迹 病毒依然不断裂变)

Sircam病毒档案

7月日本深受Sircam之害

Sircam病毒简介(一)

wwwrisingcomcn 2001-10-15 16:46:00 信息源:瑞星公司

病毒名称

W32.Sircam.Worm@mm, W32/SirCam@mm, Backdoor.SirCam

其他信息

蠕虫W32.Sircam.Worm@mm自身包含 SMTP引擎，感染方式有点类似W32.Magistr.Worm。

该蠕虫目前已经被列为危险级病毒。

触发日期：10月16日

病毒行为

蠕虫将染毒机器中产生的随机文档隐藏到自身代码中；

蠕虫将删除C盘上的所有文件及文件夹，仅当系统日期格式为 D/M/Y（日/月/年）；

每次启动时蠕虫通过向c:\\recycled\\sircam.sys文件中添加文本使硬盘上的空余空间被充满，

文本中包含下面的字符串：

[SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

或

[SirCam Version 1.0 Copyright ￢ 2000 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]；

病毒传播

1）邮件：从两种渠道获取邮件地址：

-----按照注册表HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\

CurrentVersion\\Explorer\\Shell Folders\\Startup\\Cache

指定的路径搜索下列文件：sho*., get*., hot*., *.htm并将邮件地址拷贝到

%Windows%\\sc??.dll (其中？代表随机的数字或字母)

-----搜索所有驱动器，寻找*.wab文件（ Windows地址簿）并拷贝其中的邮件地址。

邮件内容：

主题：随机，但与附件的文件名相同。

消息主体：第一行和最后一行不变，其他部分随机。

英文：

First line: Hi! How are you?

I send you this file in order to have your advice

I hope you can help me with this file that I send

I hope you like the file that I send you

This is the file with the information that you ask for

Last line: See you later. Thanks

西班牙文：

First line: Hola como estas ?

Te mando este archivo para que me des tu punto de vista

Espero me puedas ayudar con el archivo que te mando

Espero te guste este archivo que te mando

Este es el archivo con la informacion que me pediste

Last line: Nos vemos pronto, gracias.

附件：

SirC32.exe

Tech Specs and Financialsdoccom

2）共享驱动器：搜索所有共享驱动器将蠕虫复制到该驱动器中。并执行：

------将自身拷贝到\\recycled\\sirc32.exe

------在\\autoexec.bat文件中添加一行：

"@win \\recycled\\sirc32.exe"

------复制文件\\Windows\\rundll32.exe到\\Windows\\run32.exe

------用本地文件 c:\\recycled\\sirc32.exe替换\\Windows\\rundll32.exe

行为分析

1.蠕虫复制自身到 %TEMP%\\ 、 C:\\recycled\\其中包含附件中的文档（doc,xls.zip）。

2.拷贝自身到C:\\recycled\\sirc32.exe 、 %System%\\scam32.exe。

3 添加注册键的值：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

值：Driver32=%System%\\scam32.exe

创建注册键HKEY_LOCAL_MACHINE\\Software\\SirCam 其中包含下列值：

FB1B - 保存蠕虫在recycled目录中的文件名。

FB1BA -保存 SMTP的 IP地址。

FB1BB - 保存发送者的邮件地址。

FC0 - 保存蠕虫已经执行的次数。

FC1 - 保存蠕虫的版本。

FD1 - 保存已经执行的蠕虫文件名。

设置注册键HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command

为 C:\\recycled\\sirc32.exe "%1" %*"

作用是当任何一个EXE文件运行时，都会执行蠕虫。

4、按照注册表

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Startup\\Personal

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Startup\\Desktop

指定的路径搜索下列类型的文件 .DOC, .XLS, .ZIP, 和 .EXE，找到匹配的文件后将添加蠕虫，新文件将作为邮件附件被发送。

5、当蠕虫执行8000次后，会停止执行。

Sircam病毒简介(二)

目前状况

日前，一种在全球50多个国家通过电子邮件快速传播的恶性网络蠕虫W32.Sircam病毒在国内大面积爆发。我国著名反病毒企业北京瑞星公司率先捕获并将其彻底查杀。瑞星公司告诫广大计算机用户：请尽快将瑞星杀毒软件升级到12.33以上版本，并开启实时监控，可避免受到该病毒的侵袭。

病毒详情

据瑞星公司反病毒专家介绍，“W32.Sircam.Worm”病毒是一种首发于英国的恶性网络蠕虫病毒，具有较高的危害程度，主要通过电子邮件附件进行传播。在电子邮件中该病毒表现为：正文是一段首尾两句不变的英文或西班牙文字，其中英文邮件的首尾两句为：“Hi! How are you?”、“See you later. Thanks”，西班牙文则为：“Hola como estas?”、“Last line: Nos vemos pronto, gracias.”。邮件的附件和主题一样，并在后面加上了双扩展名，其扩展名称可能是："PIF", "LNK", "BAT", "EXE" 或"COM" 五种中的任意一种。

用户一旦打开附件，该网络蠕虫病毒将达到以下破坏目的：

1.随意选择机器硬盘内的文件作为附件，向外发送，导致机器内重要文件对外公开；

2.病毒发作时自动删除C盘所有文件；

3.每一次启动时自动在硬盘中写入垃圾文件，直至吞噬硬盘所有可用空间，导致系统无法工作。

解决办法

[手工解决办法]

1、清空回收站，因为Sircam.sys文件将隐藏在回收站中

2、在DOS模式下打开Autoexec.bat文件，如果有如下字段则删除"@win \\recycled\\sirc32.exe"

3、更改注册表

将regedit.exe 改名为 regeditcom 因为此种病毒在每运行一次exe文件的同时都会发作一次

进入dos模式，键入"copy regedit.exe regeditcom"。

回到windows模式，进入注册表编辑器，查找主键：

HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command

删除其原有键值，并将其键值改为 "%1" %*

查找主键 HKEY_LOCAL_MACHINE\\Software\\SirCam 并将其删除

查找主键 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices

在其右侧的面板中，如果有 Driver32. 则坚决删除

再次爆发 危害仍不能低估

今年7月份首次在互联网上出现的SirCam病毒预计将于10月16日再次爆发。

这种病毒据信可以窃取受感染计算机系统中的个人文件并将这些文件在互联网上进行传播。在一年中的某一天，这种病毒还可以随机选择一些受感染的计算机然后将其硬盘上储存的内容全部删除。

安全专家称，SirCam现已成为互联网上最臭名昭著的病毒之一。据称，这种病毒以电子邮件的形式进入用户的计算机系统当中，并假装向用户征求咨询意见，一旦用户打开带有病毒的电子邮件，这种病毒就随机窃取并传播计算机硬盘驱动器中的个人文件。

业内出版物称，根据每个月进行的抽样调查，这种病毒目前仍然毒性很强，而且高居连网计算机容易感染的头号病毒。据称，等到10月16日这一天，每20台被感染的计算机当中就有1台可能面临硬盘内容被删除的危险。

为此，网络专家敦促所有互联网用户尽可能在10月16日之前做好防范SirCam病毒的一切准备。

美FBI全球追踪Sircam与红色代码病毒制造者

追踪起来相当困难，因为没有人声称是红色代码的制造者，尽管有人估计这是互联网有史以来经济损失最大的电脑病毒之一———吉瑞.福瑞斯

四千探员全球追踪

Hi！How ar eyou？

I send you this file insgroupsto have your advice OR I hope you can help me with this file that I send OR I hope you like the file that I send you OR This is the file with the information that you ask for See you later.Thanks

邮件看起来十分客气，可就是这段客气的文字，近来却让全球网民观之色变，因为它来自Sircam。发现于美国的新病毒--Sircam最近在网络上蔓延，灾情有逐渐扩散之势，根据全球防毒软件厂商趋势分析，该病毒主要通过电子邮件进行传播，计算机族一旦执行电子邮件中夹带的附加文件，计算机就会遭病毒感染。之后，病毒会自动寻找通讯簿中的名单，自动发送病毒邮件。在自动发送病毒邮件的同时，病毒会随机寻找“我的文档”中的一个文件当做邮件附件。除了造成病毒大量扩散之外，也有可能造成在“我的文档”内的机密资料外泄。

让全球反病毒专家颇为头疼的是，该病毒最为狡猾之处在于，带有病毒的电邮没有固定的，因而令人防不胜防，即使是FBI(美国联邦调查局)中的反黑客高手，在这种病毒面前，也有些踌躇。究竟谁是最近在全球范围内大肆蔓延的破坏性电脑病毒Sircam和红色代码的制造者，这是联邦调查局近日最头疼的问题之一。

据联邦调查局专门用于反计算机犯罪的机构国家基础设施保护中心(NIPC)的女发言人黛布拉.威尔曼透露，现在联邦调查局已调动了全球范围内的4000名安全专家，用于追踪Sircam和红色代码的制造者。“有关方面有信心抓住这两个恶性蠕虫病毒的始作俑者，法律也将对此进行严惩！抓住这些病毒的制造者只是时间问题！”黛布拉.威尔曼说。不过，真的要把Sircam和红色代码的制造者找出来，也绝非易事。

黛布拉.威尔曼承认，在茫茫人海中要想把这两种蠕虫病毒的制造者找出来，就如同把洒落在地球各地的一片片拼图模块一个一个地找出来，然后再拼在一起，其难度可想而知。据联邦调查局有关人士透露，其反计算机犯罪机构国家基础设施保护中心的研究人员，正在全力以赴研究来自世界各地的有关这两种病毒的调查报告。黛布拉.威尔曼说，国家基础设施保护中心主要依靠遍布世界各地的掌握有专门的计算机知识、并且和联邦调查局有着密切联系和共享情报合作的人员及机构的合作，共同对付计算机病毒的制造者。

除此之外，联邦调查局还动用了各种关系，与全球各国的反病毒公司获取各种有关Sircam和红色代码的各种信息，以便从中寻找其制造者的蛛丝马迹。虽然多数反病毒厂商对缉拿Sircam和红色代码的制造者并没有多大兴趣，但是迫于联邦调查局的影响力和考虑到今后有可能的合作关系，多数反病毒厂商都会向联邦调查局提供手头有关这两种蠕虫病毒的技术支持。

电脑杀手难寻踪迹

尽管联邦调查局有着全球最为庞大的犯罪侦查机构，可真正追寻起Sircam和红色代码的制造者来，依旧是感到力不从心。虽然联邦调查局一再声称抓到这两种蠕虫病毒的制造者只是时间问题，可实际上真正的追踪工作困难重重。负责反智能犯罪的吉瑞.福瑞斯表示，追踪起来相当困难，因为没有人声称是红色代码的制造者，Sircam的制造者追踪起来同样如此。不过，从世界各地汇总来的信息之中，也有不少看起来对确定追踪方向有所帮助的。

德国联邦信息技术安全办公室在本月初发布的消息中称，荷兰的黑客们已经宣称他们是“红色代码II”病毒的制造者了。同时，从法新社传来的消息则透露，荷兰的黑客组织29a在新闻组讨论中声称是他们开始传播这种蠕虫病毒的。不过对于这些消息，德国联邦信息技术安全办公室的专家福兰克.费尔斯曼称，目前尚无证据证明这些黑客就是该病毒的作者。费尔斯曼强调：“这种在互联网上像滚雪球一样的病毒传播方式是很难让人找出病毒的真正作者的。”费尔斯曼还说，尽管“红色代码I”在受感染的网页上留下“中国制造”(Hacked by Chinese)字样，但现在看来，该病毒并非中国制造。

病毒依然不断裂变

计算机病毒红色代码及其变种在网络上扩散的速度虽然趋缓，但其造成的损害却与日俱增，使之成为威胁网络安全的电脑病毒中让用户付出代价最高者之一。据美国加州计算机经济(Computer Economics)公司估计，该病毒一代及二代在美国造成的经济损失，已增至近20亿美元。在损失不断扩大的同时，联邦调查局的追踪依然在继续。曾经与他人合作，成功追踪到梅莉莎病毒制造者的史密斯透露，通过分析计算机服务器和防火墙的日志文件，可以查找到究竟是哪一台计算机最初产生了这些病毒，不过所要做的工作量相当大。黛布拉.威尔曼则表示，如果病毒的制造者不是在美国，美国将与国外的司法机构合作，确保制造者得到应有的惩罚。

但是，联邦调查局也不得不承认，尽管可以抓到罪犯，但如果想知道这两种恶性蠕虫病毒的源代码，则要取决于其制造者是不是肯开口。与追踪同步，蠕虫病毒正逐步升级，最新的报告来自韩国。韩国情报和通讯部部长透露，计算机病毒红色代码已经变异出第三种更危险的版本。该部官员说：“已有十份受到感染的报告，我们相信这是最新的红色代码三型病毒在作怪。”他说，“红色代码三型蠕虫病毒的传播速度比先前的版本更快，在受感染的机器开启更宽的‘后门’，使得计算机将来受到黑客攻击的可能性更大。”

Sircam病毒档案

邮件主题：不固定

附加文件：不固定，但与邮件主题同名

邮件内容：英文或西班牙文，如下

英文：Hi！How ar eyou？I send you this file insgroupsto have your advice OR I hope you can help me with this file that I send OR I hope you like the file that I send you OR This is the file with the information that you ask for See you later.Thanks

西班牙文：Hola como estas？Te mandoeste archivo paraque me des tupunto devista ORE sperome puedasayudar conel archivoque te mando ORE sperotegusteeste archivoque te mando ORE ste esel archivocon ia informacion que me pediste Nos vemospronto，gracias.

7月日本深受Sircam之害

日本信息处理振兴事业协会（IPA）于2001年8月3日发表了2001年7月份计算机病毒报告。

日本信息处理振兴事业协会（IPA）于2001年8月3日发表了2001年7月份计算机病毒报告。由于“W32/Magistr”和“W32/Sircam”这两种通过电子邮件感染并破坏计算机内部数据的病毒的扩散，感染病毒报告次数达到了1738次，大约是去年同月的2.5倍，实际受害率为19.8%，比6月增加了8.3个百分点。

尤其是7月中旬开始出现的Sircam感染次数达到了520次，除刷新了作为新病毒首次出现月份报告次数记录之外，其实际受害率也高达23%。由于Sircam是将病毒嵌入作为电子邮件附件的Word及Excel文件入侵，因此感染范围较大；破坏BIOS的数据的Magistr病毒的报告次数为202次（实际受害率为16.3%）；“VBS/Haptime”病毒的报告次数为35次（实际受害率20%），该病毒只在打开邮件正文时会进行感染、并将删除被感染计算机的扩展名为EXE或者DLL文件