请输入您要查询的百科知识:

 

词条 W32.Sircam.Worm@mm
释义

W32.Sircam.Worm@mm是 2001 年 7 月 17 日发现的蠕虫病毒(于 2007 年 2 月 13 日 11:37:14 AM更新),感染操作系统为Windows 95, Windows 98, Windows Me。感染长度: Varies。该病毒通过邮件传播

别名

W32/SirCam@mm [McAfee], Backdoor.SirCam, I-Worm.Sircam.a [AVP], WORM_SIRCAM.A [Trend], W32/Sircam-A [Sophos], W32/Sircam [Panda], Win32.Sircam.137216 [CA], W32/Sircam.worm@mm [F-Secure], Win32.HLLW.SirCam [DrWeb]

感染过程

运行时,该蠕虫执行下列操作:

创建自己的副本

创建自己的副本 %TEMP%\\<文件名> 和 C:\\Recycled\\<文件名>,其中包含附加的文档。该文档通过注册为用于处理该特定文件类型的程序运行。例如,如果保存成扩展名为 .doc 的文件,则用 Microsoft Word 或 Wordpad 运行。扩展名为 .xls 的文件在 Excel 中打开,扩展名为 .zip 的文件则在默认的 zip 程序(如 WinZip)中打开。

注意:%TEMP% 是 Temp 变量,意味着蠕虫将自己保存到 Windows Temp 文件夹,而不考虑该文件夹的位置。默认位置是 C:\\Windows\\Temp。

复制

将自己复制到 C:\\Recycled\\Sirc32.exe 和 %System%\\Scam32.exe。

注意:%System% 也是一个变量。蠕虫将定位 \\System 文件夹(默认位置是 C:\\Windows\\System),再将自己复制到此位置。

添加注册表

它会将值

Driver32=%System%\\scam32.exe

添加到下列注册表键:

HKEY_LOCAL_MACHINE\\SOFTWARE\\

Microsoft\\Windows\\CurrentVersion\\RunServices

创建注册表键

创建下列注册表键:

HKEY_LOCAL_MACHINE\\Software\\SirCam

使用下列值:

* FB1B - 存储蠕虫的文件名,该文件名与 Recycled 目录中存储的文件名相同。

* FB1BA - 存储 SMTP IP 地址。

* FB1BB - 存储发件人的电子邮件地址。

* FC0 - 存储蠕虫已执行的次数。

* FC1 - 存储蠕虫的版本号。

* FD1 - 存储蠕虫已执行过的文件名(不包含后缀)。

* FD3 - 存储蠕虫当前状态所对应的值。

* FD7 - 存储在该进程中断之前已发送的邮件数量。

设置注册表键默认值

注册表键的(默认)值

HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command

设置为

C:\\recycled\\sirc32.exe "%1" %*"

这使蠕虫能够在有 .exe 文件运行时进行自我执行。

感染共享系统

蠕虫具有网络意识,它将列举所有网络资源,以感染共享系统。一旦发现共享系统,蠕虫将执行下列操作:

* 试图将自己复制到 <计算机>\\Recycled\\Sirc32.exe

* 将“@win \\recycled\\sirc32.exe”行添加到文件 <计算机>\\Autoexec.bat

* 将 <计算机>\\Windows\\Rundll32.exe 复制到 <计算机>\\Windows\\Run32.exe

* 用 C:\\Recycled\\Sirc32.exe 替换 <计算机>\\Windows\\rundll32.exe

感染成功率

发生下列操作的机率为 1/33

* 蠕虫将自己从 C:\\Recycled\\Sirc32.exe 复制到 %Windows%\\Scmx32.exe

* 蠕虫将自己以“Microsoft Internet Office.exe”的形式复制到下列注册表键所指向的文件夹中:

HKEY_CURRENT_USER\\Software\\Microsoft\\

Windows\\CurrentVersion\\Explorer\\

Shell Folders\\Startup

发生下列操作的几率为 1/20

在每年的 10 月 16 日,蠕虫递归删除 C 驱动器上的所有文件和文件夹。

这种有效负载功能只在日期格式为日/月/年(与月/日/年或类似格式不同)的计算机上才起作用。

此外,如果蠕虫的附件中包含序列“FA2”,而后面没有紧跟字母 sc,则有效负载总会立刻激活,而不考虑日期及日期格式。

注意:由于随机数字生成器的初始化中存在 bug,因此该威胁的文件删除和空间填充有效负载几乎不可能总是能激活。

如果此有效负载激活,将创建 C:\\Recycled\\Sircam.sys 文件并在其中添加文本,直到没有剩余硬盘空间。

所添加的文本是下面两个字符串中的一个:

* [SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

* [SirCam Version 1.0 Copyright &not; 2000 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]

蠕虫包含自己的 SMTP 引擎,并将其用于电子邮件例程。它可以通过以下两种不同的方式获得电子邮件地址:

* 在下列注册表键

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Cache

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Personal

所制向的文件夹中搜索 sho*.、get*.、hot*.、*.htm 文件,并将其中的电子邮件地址复制到 %system%\\sc?1.dll 文件

其中,? 是表示每个位置的不同字母,如下所示:

o scy1.dll:来自 %cache%\\sho*.、hot*.、get* 中的地址。

o sch1.dll:来自 %personal%\\sho*.、hot*.、get* 中的地址。

o sci1.dll:来自 %cache%\\*.htm 中的地址。

o sct1.dll:来自 %personal%\\*.htm 中的地址。

* 蠕虫在 %system% 与所有子文件夹中搜索 *.wab(所有 Windows 通讯薄),然后将其中的地址复制到 %system%\\scw1.dll 中。

在下列注册表键:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Personal

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Desktop

所指向的文件夹中搜索 .doc、.xls 和 .zip 文件类型,并将文件名存储在 %system%\\scd.dll 中。这些文件中的一个将附加到蠕虫的原始可执行文件的后面,而构成的新文件将作为电子邮件附件发送。

发件人的电子邮件地址与邮件服务器取自注册表。如果不存在电子邮件帐户,将在当前用户名之后附加 ,例如,如果当前用户使用 Jsmith 登录,则地址为 .mx。然后蠕虫将试图与邮件服务器连接。该邮件服务器或者来自注册表或者为下面所列举出的一个:

+

邮件所用的语言取决于发件人使用的语言。如果发件人使用西班牙语,那么邮件也使用西班牙语,否则便使用英语。附件可以从 scd.dll 的文件列表中任意选取。

防护措施

杀除工具

由于提交率的降低,Symantec 安全响应中心自 2002 年 7 月 23 日起将该威胁的级别从 4 类降为 3 类。

W32.Sircam.Worm@mm 包含它自己的 SMTP 引擎,其传播方式与 W32.Magistr.Worm 类似。

W32.Sircam.Worm@mm 在 Windows NT、2000 或 XP 下不进行复制,这似乎是一个 bug。

Symantec 安全响应中心已创建了杀除该蠕虫的工具。

警告:在某些情况下,如果 NAV 隔离或删除了受感染的文件,您将无法运行 .exe 文件,但是仍可以运行杀毒工具。

配置 Window

由于此病毒是通过网络计算机上的共享文件夹进行传播的,因此,为确保该病毒被杀除后不会再次感染计算机,Symantec 建议用只读访问或密码保护进行文件共享。有关如何完成此操作的指导,请参阅 Windows 文档或文档:如何配置共享 Windows 文件夹以尽可能地保护网络。

防护

* 病毒定义(每周 LiveUpdate™) 2001 年 7 月 17 日

* 病毒定义(智能更新程序) 2001 年 7 月 17 日

威胁与损害

威胁评估

广度

* 广度级别: Low

* 感染数量: More than 1000

* 站点数量: More than 10

* 地理位置分布: Medium

* 威胁抑制: Moderate

* 清除: Moderate

* 损坏级别: Medium

损害

* 有效负载触发器: 1) October 16th, or some attached file contents, triggers file deletion payload. 2) If the file deletion occured, or after 8000 executions, triggers the space filler payload..

* 有效负载: NOTE: Due to a bug in the initialization of a random number generator, it is highly unlikely that the file deleting, and space filling payloads of this threat will ever be activated

* 大规模发送电子邮件: The worm appends a random document from the infected PC to itself and sends this new file via email

* 删除文件: 1 in 20 chance of deleting all files and directories on C:. Only occurs on systems where the date is October 16 and which are using D/M/Y as the date format. Always occurs if attached file contains "FA2" not followed by "sc".

* 泄露机密信息: It will export a random document from the hard drive by appending it to the body of the worm

* 降低性能: 1 in 50 chance of filling all remaining space on the C: drive by adding text to the file c:\\recycled\\sircam.sys

扩散与传播

通过电子邮件传播

此蠕虫以电子邮件附件的形式传入,并且邮件包含下列内容:

主题:电子邮件的主题是随机性的,且与电子邮件附件的文件名相同。

附件:附件是来自发件人计算机,且扩展名为 .bat、.com、.lnk 或 .pif 的文件。

消息:邮件的正文是半随机性的,但是其开头和结尾总包含下列两行中的一行(英文或西班牙文)。

西班牙文版本:

首行:Hola como estas ?

末行: Nos vemos pronto, gracias.

英文版本:

首行: Hi!How are you?

末行: See you later.Thanks

在这两句之间,可能出现下列文本中的某些内容:

西班牙文版本:

Te mando este archivo para que me des tu punto de vista

Espero me puedas ayudar con el archivo que te mando

Espero te guste este archivo que te mando

Este es el archivo con la informaci=n que me pediste

英文版本:

I send you this file in order to have your advice

I hope you can help me with this file that I send

I hope you like the file that I sendo you

This is the file with the information that you ask for

参数

* 分发级别: High

* 电子邮件的主题: Random subject - the filename of the attachment

* 附件名称: A file from the sender's computer with the extension .bat, .com, .lnk, or .pif added to it.

* 附件大小: at least 134kb long

* 共享驱动器: searchs for shared drives and copies itself to those it find

用户建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”:

禁用并删除不需要的服务

默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。

始终安装最新的补丁程序

尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。

强制执行密码策略

复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。

迅速隔离受感染的计算机防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

教育员工不要打开意外收到的附件

并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。

Symantec 安全响应中心已创建了杀除该蠕虫的工具。

杀毒工具

在某些情况下,如果 NAV 隔离或删除了受感染的文件,您将无法运行 .exe 文件,但是仍可以运行杀毒工具。

* 如果使用的是 Windows Me,并在运行工具时在 _Restore 文件夹中检测到蠕虫的一个副本,则因其受 Windows 保护,该工具无法将其从文件夹中删除。请参阅文档:无法修复、隔离或删除在 _RESTORE 文件夹中找到的病毒,然后再次运行该工具。.

尝试杀除此蠕虫之前,必须断开网络连接

* 如果您在网络上或一直保持与 Internet 的连接,请断开计算机与网络或 Internet 的连接。在计算机与网络或 Internet 重新连接之前,请禁用或用密码保护文件共享。因为此蠕虫是通过网络计算机上的共享文件夹进行传播的,为确保此蠕虫被杀除后不会再次感染计算机, Symantec 建议用只读访问或密码保护进行文件共享。有关如何完成此操作的指导,请参阅 Windows 文档或文档:如何配置共享 Windows 文件夹尽可能的保护网络。

* 如果计算机多次受到感染(在网络上使用共享文件夹时可能发生),受蠕虫感染的 Run32dll.exe 副本将覆盖 Run32.exe 文件。执行“编辑 Autoexec.bat 文件”部分的操作时,如果看到不只一项“@win \\recycled\\sirc32.exe”,请不要试图重命名文件,而应删除 Run32.exe 和 Run32dll.exe 文件,然后从一个干净的备份文件或 Windows 安装光盘中提取新的 Run32dll.exe 副本。有关如何进行此项操作的信息,请参阅 Windows 文档。

策略

手动杀毒

如果由于某些原因而无法获得或使用 W32.Sircam.Worm@mm 杀毒工具,就必须手动杀除该蠕虫。要完成此操作,必须:

* 撤消蠕虫对注册表键 HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command 所做的更改

* 删除所有检测到 W32.Sircam.Worm@mm 的文件。

* 使用 Windows 资源管理器从 Windows 回收站中删除 Sircam.sys(如果存在)。

* 删除此蠕虫在 Autoexec.bat 文件中创建的项(如果有)。(只有当蠕虫在网络中传播时才会有。)

* 如果有文件 \\Windows\\Run32.exe,将其重命名为 \\Windows\\Rundll32.exe

有关详细指导,请参阅下列各部分。

注意:如果您在网络上或一直保持与 Internet 的连接,请断开计算机与网络或 Internet 的连接。在所有计算机(包括服务器)上执行上述过程。在计算机与网络或 Internet 重新连接之前,请禁用或用密码保护文件共享。

编辑注册表

蠕虫会修改注册表,因此每次运行 .exe 文件时,就会执行一个受感染文件。请按照下列指导对此进行修复。

将 Regedit.exe 复制为 :

由于蠕虫修改了注册表,使您无法运行 .exe 文件,因此必须首先生成注册表编辑器程序文件的副本,并将其扩展名改成 .com,然后再运行该文件。

具体操作

1. 根据您运行的操作系统,执行下面相应的操作:

* Windows 95/98 用户:单击“开始”,指向“程序”,然后单击“MS-DOS 方式”。这将打开 DOS 窗口,提示符为 C:\\WINDOWS\\。转至此部分的步骤 2。

* Windows Me 用户:单击“开始”,指向“程序”,再指向“附件”,然后单击“MS-DOS 方式”。这将打开 DOS 窗口,提示符为 C:\\WINDOWS\\。转至此部分的步骤 2。

* Windows NT/2000 用户:

1. 单击“开始”,然后单击“运行”。

2. 键入下列命令,然后按 Enter 键:

command

DOS 窗口打开。

3. 键入下列命令,然后按 Enter 键:

cd \\winnt

4. 转至此部分的步骤 2。

* Windows XP:

1. 单击“开始”,然后单击“运行”。

2. 键入下列命令,然后按 Enter 键:

command

DOS 窗口打开。

3. 键入下列命令,每键入完一行即按 Enter 键:

cd\\

cd \\windows

4. 继续执行此部分的步骤 2。

2. 键入下列命令,然后按 Enter 键:

copy regedit.exe 3. 键入下列命令,然后按 Enter 键:

start

注册表编辑器将在 DOS 窗口打开。编辑完注册表之后,请退出注册表编辑器,然后退出 DOS 窗口。

4. 只有在完成上述步骤之后,才可继续进行下一部分“编辑注册表并删除由蠕虫创建的键及所做的其他更改”。

注意:此操作将在 DOS 窗口打开注册表编辑器。请在完成注册表编辑并关闭注册表编辑器后,关闭 DOS 窗口。

编辑注册表并删除由蠕虫创建的键及所做的其他更改:

警告:强烈建议您在对系统注册表进行任何更改之前先将其备份。错误地更改注册表可能导致数据永久丢失或文件损坏。请确保只修改了此文档中指定的键。有关如何备份注册表的详细信息,请参阅文档:如何备份 Windows 注册表,然后继续进行操作。如果担心无法正确执行下列操作,则不要执行。

1. 导航至下列键并将其选定:

HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command

警告:HKEY_CLASSES_ROOT 键中包含许多指代其他文件扩展名的子键。其中之一是 .exe。更改此扩展名可阻止扩展名为 .exe 的文件运行。请确保是沿着此路径浏览到 \\command 子键。

请不要修改 HKEY_CLASSES_ROOT\\.exe 键。

请修改下图中显示的 HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command 子键:

<<=== 注意:这是需要修改的键。to modify.

2. 双击右窗格中的(默认)值。

3. 删除当前数值数据,然后键入 "%1" %*(即键入下列字符:引号、百分号、1、引号、空格、百分号、星号)。

注意:在 Win9x 和 WinNT 系统上,注册表编辑器自动在值的两侧加上引号。当单击“确定”时,(默认)值的确切显示为:""%1" %*"。在 Win2k 系统上,不会出现附加的引号。在 Win2k 系统中,(默认)值的确切显示为:"%1" %*

4. 确保在键入正确的数据前,完全删除了命令键中的所有数值数据。如果在此项的开头不小心留下了一个空格,则试图运行程序文件时,将导致如下错误消息,“Windows 找不到 .exe”或“无法确定 C:\\ <路径与文件名> 的位置”。

5. 导航至下列键并将其选定:

HKEY_LOCAL_MACHINE\\Software\\SirCam

警告:请确保是沿着指定路径浏览到 SirCam 键,并确保选定此键。该键如下图所示:

6. 选定 SirCam 键,按 Delete 键,然后单击“是”确认。此操作将删除 SirCam 键及其所有子键。因为此键是蠕虫创建的,所以可以安全地将其删除。

7. 导航至下列键并将其选定:

HKEY_LOCAL_MACHINE\\Software\\

Microsoft\\Windows\\CurrentVersion\\RunServices

8. 在右窗格中,查找并选择值

Driver32.

9. 按 Delete 键,然后单击“是”确认。

删除蠕虫:

1. 运行 LiveUpdate,确保您的病毒定义是最新的。

2. 启动 Norton AntiVirus (NAV),然后运行完整的系统扫描,确保 NAV 设置为扫描所有文件。

3. 删除所有检测到 W32.Sircam.Worm@mm 的文件。

警告:Windows Me 用户。如果使用的是 Windows Me,并在 _Restore 文件夹中检测到蠕虫的一个副本,则因其受 Windows 保护,NAV 无法将其从文件夹中删除。请参阅文档:无法修复、隔离或删除在 _RESTORE 文件夹中找到的病毒。

清空回收站:

由于文件在这种情况下的存放方式,您不能像以正常方式删除文件那样只是单击“清空回收站”,而要用 Windows 资源管理器删除文件 C:\\Recycled\\Sircam.sys(如果有)。

编辑 Autoexec.bat 文件:

1. 单击“开始”,然后单击“运行”。

2. 键入以下内容,然后单击“确定”:

edit c:\\autoexec.bat

MS-DOS 编辑器打开。

3. 删除 “@win \\recycled\\sirc32.exe”一行(如果有)。

警告:如果 Autoexec.bat 文件中出现了多次“@win \\recycled\\sirc32.exe”,意味着计算机不只被感染过一次。因此,受蠕虫感染的 Run32dll.exe 副本将覆盖 Run32.exe。这样,您将无法按照下一部分的指导通过重命名文件来进行修复。

4. 单击“文件”,然后单击“保存”。

5. 退出 MS-DOS 编辑器。

重命名 Run32.exe 文件:

如果此文件存在,应将其重命名为原来的名称。

警告:如果计算机多次受到感染(这会在使用网络共享文件夹时发生),则 Rundll32.exe 的一个受感染副本将覆盖 Run32.exe 文件。如果在执行上一部分介绍的步骤时看到多个“@win \\recycled\\sirc32.exe”项,请不要尝试重命名该文件,而应删除 Run32.exe 和 Run32dll.exe 文件,然后从一个干净的备份文件或 Windows 安装光盘中提取新的 Run32dll.exe 副本。有关如何进行此项操作的信息,请参阅 Windows 文档。

1. 单击“开始”,指向“查找”或“搜索”,然后单击“文件或文件夹”。

2. 确保“搜索范围”设置为 (C:) 并选中“包含子文件夹”。

3. 在“名称”或“搜索…”框中,键入(或复制并粘贴)下列文件名:

run32.exe

4. 单击“开始查找”或“立即搜索”。

5. 用鼠标右键单击 Run32.exe 文件,然后单击“重命名”。

6. 将该文件重命名为:

rundll32.exe

7. 按 Enter 键。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/23 0:18:52