Sircam蠕虫病毒
一种在美国发现的新邮件病毒"Worm.Sircam.Worm@mm "最近正在互联网上蔓延,并已扩散至亚太地区。从上周五开始,我国大陆地区的许多用户也已经感染此病毒。金山毒霸反病毒研发部门已在最新的版本中加入对此病毒的查杀,并特制清除该病毒的小工具。
这种病毒特点在于善变、难以防范,其主题及附件名称不固定,主要借邮件进行传播,一旦运行了邮件附件,系统将被感染,病毒将寻找系统中通讯簿中的邮件地址,自动向其它人转发病毒邮件。 它不同于与往的蠕虫病毒是会从"My Documents"中随机寻找一个文件作为附件,并将主题与邮件内容改为与附件文件名相同,所以它没有固定的主题及内容。发作后它将删除系统中的所有文件。
病毒名称:Worm.Sircam.137216-CAM先生 (金山毒霸命名)
病毒类型:蠕虫病毒
病毒简介:运行该病毒之后,它会将自身复制到windows的system目录,名为Scam32.exe,并修改注册表HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Driver32指向该文件。以便下次启动时启动。病毒发送附件时会选择一个正常文件做伪装,将自身代码放在前面,正常文件附加在后面。 邮件正文是如下的一段英文或西班牙文,中间内容有可能出入,但首尾两句不变。
英文:Hi! How are you?
I send you this file just to have your advice(中间一句有可能不是这样的)
See you later. Thanks
西班牙文:Hola como estas ?
(中间内容有可能是多种情况,首尾不变)
Last line: Nos vemos pronto, gracias.
病毒危害:
1. 每一次系统启动时,会在你的硬盘上写数据,直到填满硬盘;
2. 通过你的通讯地址薄进行发送,干扰电子邮件服务器;
3. 删除硬盘文件。(删除的条件为你的机器使用 "日/月/年"的日期格式);
4. 选择随机文档,泄漏机密信息。
手工清除:
1、 清空回收站,因为病毒将自身隐藏在回收站;
2、 删除Autoexec.bat文件中的"@win ecycledsirc32.exe"
3、 恢复注册表
(1) 将regedit.exe改名为regedit.com因为该病毒关联exe文件
(2) 打开注册表编辑器,查找主键:HKEY_CLASSES_ROOT/exefile/shell/open/command将其键值改为"%1" %*
(3) 删除主键HKEY_LOCAL_MACHINE/Software/SirCam
(4) 删除键值HKEY_LOCAL_MACHINE/Software/Microsoft/Windows Current Version/Run Services/Driver32
(5) 将regedit.com改回为regedit.exe
