病毒名称:Sircam
别名:W32.Sircam,W32/Sircam,I-Worm.Sircam,I-Worm/Sircam,W32/SirCam@mm
病毒特点:
该病毒为一通过邮件系统传播的网络蠕虫。病毒的主体长度为137216字节,但当它作为邮件的附件时,因为将问档附加到病毒体上,所以长度要大一些。
带有病毒的邮件可能是英文或西班牙文的,邮件的格式如下:
主题:[ 无扩展名的文件名(随机)]
附件:[ 与主体相同,但多了双扩展名 ]
主体:(英文)
Hi! How are you?
I send you this file in order to have your advice
or I hope you can help me with this file that I send
or I hope you like the file that I sendo you
or This is the file with the information that you ask for
See you later. Thanks
主体:(西班牙文)
Hola como estas ?
Te mando este archivo para que me des tu punto de vista
or Espero me puedas ayudar con el archivo que te mando
or Espero te guste este archivo que te mando
or Este es el archivo con la informaci que me pediste
Nos vemos pronto, gracias.
一旦打开邮件的附件,该文档会被拷贝到C:RECYCLED目录下,接着病毒会复制自身到C:RECYCLED下,名为SirC32.exe,并创建以下键值:
HKCRexefileshellopencommandDefault="C:
ecycledSirC32.exe" "%1" %*
该键值使得所有exe文件运行时都加载该病毒。
病毒还将自身复制到Windows System目录下,名为Scam32.exe,并修改注册表:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesDriver32=C:WINDOWSSYSTEMSCam32.exe
使得每次系统启动后,自动执行该蛀虫的主体部分。
注册表修改成功后,病毒利用自己特殊的SMTP给WINDOWS地址簿中的用户和INTERNET缓存中能找到的所有邮箱地址发送带有病毒附件的邮件。
病毒从“我的文档”中,选择一个DOC、XLS或ZIP文件,将被选中的文件附在病毒文件后,再加上第二个扩展名(PIF、LNK、BAT、EXE、COM中的一个),并保存到“回收站”文件夹中,该文件将被病毒用来向选中的EMAIL地址发送。
病毒还创建以下键值:HKLMSoftwareSircam,用于存放相关的一些信息,如蠕虫被执行的次数,发送者的邮件地址,SMTP信息。
该病毒也通过网络共享感染其它系统,一旦发现可读写的网络邻居,就会将该系统Windows目录下的rundll32.exe用病毒的拷贝来替代,来文件被改名为run32.exe。之后,批处理文件也被改动,增加了:
@win
ecycledsirc32.exe,以便每次系统启动时,蠕虫被运行。
除了通过邮件系统传播,该病毒在10月16日删除系统盘的文件。还会在系统的回收站中反复写入文件,直到硬盘无剩余空间。
知识库编号: RSV0512263
内容分类: 蠕虫病毒
关键词: Sircam
适用操作系统:Windows 操作系统
适用操作系统补丁版本:全部补丁适用
2001年一种在全球50多个国家通过电子邮件快速传播的恶性网络蠕虫W32.Sircam病毒在国内大面积爆发。瑞星杀毒软件升级到12.33以上版本,并开启实时监控,可避免受到该病毒的侵袭。
“W32.Sircam.Worm”病毒是一种首发于英国的恶性网络蠕虫病毒,具有较高的危害程度,主要通过电子邮件附件进行传播。在电子邮件中该病毒表现为:正文是一段首尾两句不变的英文或西班牙文字,邮件的附件和主题一样,并在后面加上了双扩展名,其扩展名称可能是:
"PIF"、"LNK"、"BAT"、"EXE"或"COM" 五种中的任意一种。
触发日期:10月16日
病毒的破坏
用户一旦打开附件,该网络蠕虫病毒将达到以下破坏目的:
1.随意选择机器硬盘内的文件作为附件,向外发送,导致机器内重要文件对外公开;
2.病毒发作时自动删除C盘所有文件;
3.每一次启动时自动在硬盘中写入垃圾文件,直至吞噬硬盘所有可用空间,导致系统无法工作。
蠕虫W32.Sircam.Worm@mm自身包含 SMTP引擎,感染方式有点类似W32.Magistr.Worm。
该蠕虫目前已经被列为危险级病毒。
病毒行为
蠕虫将染毒机器中产生的随机文档隐藏到自身代码中;
蠕虫将删除C盘上的所有文件及文件夹,仅当系统日期格式为 D/M/Y(日/月/年);
每次启动时蠕虫通过向c:
ecycledsircam.sys文件中添加文本使硬盘上的空余空间被充满,
文本中包含下面的字符串:
[SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
或
[SirCam Version 1.0 Copyright ¬ 2000 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico];
病毒传播
1)邮件:从两种渠道获取邮件地址:
-----按照注册表HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionExplorerShell FoldersStartupCache
指定的路径搜索下列文件:sho*., get*., hot*., *.htm并将邮件地址拷贝到
%Windows%sc??.dll (其中?代表随机的数字或字母)
-----搜索所有驱动器,寻找*.wab文件( Windows地址簿)并拷贝其中的邮件地址。
邮件内容:
主题:随机,但与附件的文件名相同。
消息主体:第一行和最后一行不变,其他部分随机。
英文:
First line: Hi! How are you?
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send you
This is the file with the information that you ask for
Last line: See you later. Thanks
西班牙文:
First line: Hola como estas ?
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste
Last line: Nos vemos pronto, gracias.
附件:
SirC32.exe
Tech Specs and Financials.doc.com
2)共享驱动器:搜索所有共享驱动器将蠕虫复制到该驱动器中。并执行:
------将自身拷贝到
ecycledsirc32.exe
------在autoexec.bat文件中添加一行:
"@win
ecycledsirc32.exe"
------复制文件Windows
undll32.exe到Windows
un32.exe
------用本地文件 c:
ecycledsirc32.exe替换Windows
undll32.exe
其他:
1.蠕虫复制自身到 %TEMP% 、 C:
ecycled其中包含附件中的文档(doc,xls.zip)。
2.拷贝自身到C:
ecycledsirc32.exe 、 %System%scam32.exe。
3 添加注册键的值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
值:Driver32=%System%scam32.exe
创建注册键HKEY_LOCAL_MACHINESoftwareSirCam 其中包含下列值:
FB1B - 保存蠕虫在recycled目录中的文件名。
FB1BA -保存 SMTP的 IP地址。
FB1BB - 保存发送者的邮件地址。
FC0 - 保存蠕虫已经执行的次数。
FC1 - 保存蠕虫的版本。
FD1 - 保存已经执行的蠕虫文件名。
设置注册键HKEY_CLASSES_ROOTexefileshellopencommand
为 C:
ecycledsirc32.exe "%1" %*"
作用是当任何一个EXE文件运行时,都会执行蠕虫。
4、按照注册表
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersStartupPersonal
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersStartupDesktop
指定的路径搜索下列类型的文件 .DOC, .XLS, .ZIP, 和 .EXE,找到匹配的文件后将添加蠕虫,新文件将作为邮件附件被发送。
5、当蠕虫执行8000次后,会停止执行。
解决方案
方案一:瑞星杀毒软件12.33以上版本可以彻底查杀此病毒。
方案二:手工解决方案
1、清空回收站,因为Sircam.sys文件将隐藏在回收站中
2、在DOS模式下打开Autoexec.bat文件,如果有如下字段则删除"@win
ecycledsirc32.exe"
3、更改注册表
将regedit.exe 改名为 regedit.com 因为此种病毒在每运行一次exe文件的同时都会发作一次
进入dos模式,键入"copy regedit.exe regedit.com"。
回到windows模式,进入注册表编辑器,查找主键:
HKEY_CLASSES_ROOTexefileshellopencommand
删除其原有键值,并将其键值改为 "%1" %*
查找主键 HKEY_LOCAL_MACHINESoftwareSirCam 并将其删除
查找主键 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
在其右侧的面板中,如果有 Driver32. 则坚决删除。
相关链接
Sircam病毒的修复工具:Sircam病毒会修改系统注册表,可造成机器中的可执行文件无法执行,运行此程序即可解决,下载地址http://it.rising.com.cn/service/technology/Sircam_download.htm。
