coolinger··yesky
名字:W32/Sircam-A
别名:W32.Sircam.Worm@mm, W32/SirCam@mm, Backdoor.SirCam
类别:win32蠕虫
说 明
W32/Sircam-A是一个网络病毒,它通过EMAIL和打开的网络共享来传播。它通过查找"quot;我的文件夹"quot;目录里的文件,随机发送一个具备相同名字的主题的EMAIL和这个标题一样的附件。这个附件的文件名是比较特殊的双后缀名,例如.doc.com或者mpg.pif等。如果附件被打开的话,那么这个蠕虫就复制自身到windows系统目录下并命名为scam32.exe,同时它还COPY自身到到垃圾箱文件目录下并命名为sirc32.exe。注意这两个文件的属性是隐含哦,要看的话先把它的属性改掉。
这个蠕虫还改变HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
\Driver32="quot;\SCam32.exe"quot;注册表的值让windows启动的时候自动启动蠕虫,同时还改变HKEY_CLASSES_ROOT\exefile\shell\open\command="quot;"quot;C:\recycled\SirC32.exe"quot; "quot;%1"quot; %*"quot;使病毒在用户运行任何EXE程序时被运行。蠕虫使用HKLM\Software\SirCam来存储一些核心数据。
如果蠕虫发现网络上的共享的话,那么它就开始尝试把它自己复制到对方的共享上面并且命名为rundll32.exe,原始的rundell32.exe被命名为run32.exe.如果这样成功的话,那么它就改变autoexec.bat来运行被复制到垃圾箱文件目录下的这个蠕虫。
这个蠕虫有自己的smtp事务通过WINDOWS的地址薄中和INTERNET缓存中能找到的所有邮箱地址发送, 同一个邮件地址可能发送多个病毒附件。
不同的操作系统语言环境可能产生不同的信笺内容,一般情况下:
英文系统中的第一行通常为:
"quot;Hi! How are you?"quot;
接下来选择下面其中的一行来当作第2行的内容:
"quot;I send you this file in order to have your advice"quot;
"quot;I hope you like the file that I sendo you"quot;
"quot;I hope you can help me with this file that I send"quot;
"quot;This is the file with the information you ask for"quot;
第3行通常为"quot;See you later. Thanks"quot;
如果系统是西班牙语言的,那么第一行通常内容为:
"quot;Hola como estas ?"quot;
第2行从下面的其中一行来选择:
"quot;Te mando este archivo para que me des tu punto de vista"quot;
"quot;Espero te guste este archivo que te mando"quot;
"quot;Espero me puedas ayudar con el archivo que te mando"quot;
"quot;Este es el archivo con la informacion que me pediste"quot;
最后一行通常为:
"quot;Nos vemos pronto, gracias."quot;
在10月16日,病毒将尝试把你的硬盘的文件里的文件全部删除。
由于病毒使用.EXE .COM .LNK .PIF .BAT的后缀名来执行病毒体,而一般的杀毒软件都不检查.lnk和.bat的文件,所以你需要把他们也列入检查目录。
清除方法
升级你的杀毒软件到最新版,不过就我所尝试下来的杀毒软件似乎在清除方面不怎么可靠,我尝试的软件是在我心目中印象最好的kill98,这个软件的杀毒包在26.10的时候就可以查出这个病毒,但是依照www.kill.com.cn的方法用简单的删除方法来清除病毒会造成所有使用windows环境的软件都出现要求定位sirc32.exe的提示造成软件不能使用,原因很简单,没有对病毒修改过的register做个修改。其他的金山毒霸等软件似乎对这个病毒有独特的插件来查杀,可能效果好一点。在这里我提供一个简单的批处理文件对这个病毒进行杀毒,很简单的哦。据说这个病毒被定义为4级危险程度(最高危险程度为5),不管怎么说反正我是已经收到很多这样的病毒了,我都这样了,就知道外面这个病毒传播的有多迅速拉,呵呵,大家还是赶快升级自己的杀毒软件吧。
killsircam.bat
----------------------------------------------------
@ECHO off
ECHO RMSIRC.BAT -- W32/Sircam-A virus removal utility
ECHO Version 1.30
ECHO Copyright (c) 2001, Sophos Plc, www.sophos.com
ECHO:
REM If received as a text file rename to RMSIRC.BAT.
REM Run by typing RMSIRC.BAT at a command prompt or double-clicking this file.
REM Must have write access to %windir%
ECHO REGEDIT4"gt;%windir%\sirc.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\ RunServices]"gt;"gt;%windir%\sirc.reg
ECHO "quot;Driver32"quot;="quot;Overwritten when removing W32/Sircam-A,
please delete."quot;"gt;"gt;%windir%\sirc.reg
ECHO [HKEY_CLASSES_ROOT\exefile\shell\open\command]
"gt;"gt;%windir%\sirc.reg
ECHO @="quot;\"quot;%%1\"quot; %%*"quot;"gt;"gt;%windir%\sirc.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\SirCam]"gt;"gt;%windir%\sirc.reg
ECHO "quot;FB1B"quot;="quot;Overwritten when removing W32/Sircam-A,
please delete."quot;"gt;"gt;%windir%\sirc.reg
ECHO "quot;FB1BA"quot;="quot;Overwritten when removing W32/Sircam-A,
please delete."quot;"gt;"gt;%windir%\sirc.reg
ECHO "quot;FB1BB"quot;="quot;Overwritten when removing W32/Sircam-A,
please delete."quot;"gt;"gt;%windir%\sirc.reg
ECHO "quot;FC0"quot;="quot;Overwritten when removing W32/Sircam-A,
please delete."quot;"gt;"gt;%windir%\sirc.reg
ECHO "quot;FC1"quot;="quot;Overwritten when removing W32/Sircam-A,
please delete."quot;"gt;"gt;%windir%\sirc.reg
ECHO "quot;FC9"quot;="quot;Overwritten when removing W32/Sircam-A,
please delete."quot;"gt;"gt;%windir%\sirc.reg
ECHO "quot;FD1"quot;="quot;Overwritten when removing W32/Sircam-A,
please delete."quot;"gt;"gt;%windir%\sirc.reg
ECHO "quot;FD2"quot;="quot;Overwritten when removing W32/Sircam-A,
please delete."quot;"gt;"gt;%windir%\sirc.reg
ECHO "quot;FD3"quot;="quot;Overwritten when removing W32/Sircam-A,
please delete."quot;"gt;"gt;%windir%\sirc.reg
ECHO "quot;FD7"quot;="quot;Overwritten when removing W32/Sircam-A,
please delete."quot;"gt;"gt;%windir%\sirc.reg
ECHO Copying REGEDIT.EXE to REGEDIT.COM
COPY %windir%\regedit.exe %windir%\regedit.com "gt; NUL
ECHO Removing viral entries from registry
start /w %windir%\regedit.com /s %windir%\sirc.reg
ECHO Cleaning up REGEDIT.COM
DEL %windir%\regedit.com
ECHO Attempting to remove worm files
if exist %windir%\system\scam32.exe ATTRIB -H %windir%\
system\scam32.exe
if exist %windir%\system\scam32.exe DEL %windir%\system\
scam32.exe
if exist %windir%\system32\scam32.exe ATTRIB -H %windir%\
system32\scam32.exe
if exist %windir%\system32\scam32.exe DEL %windir%\
system32\scam32.exe
if exist c:\recycled\sirc32.exe ATTRIB -H c:\recycled\sirc32.exe
if exist c:\recycled\sirc32.exe DEL c:\recycled\sirc32.exe
if exist %TEMP%\sirc32.exe DEL %TEMP%\sirc32.exe
if exist %windir%\run32.exe DEL %windir%\rundll32.exe
if exist %windir%\run32.exe rename %windir%\
run32.exe %windir%\rundll32.exe
if exist %windir%\scmx32.exe DEL %windir%\scmx32.exe
if exist %windir%\Start Menu\Programs\StartUp\
"quot;Microsoft Internet Office.exe"quot; DEL %windir%\Start Menu\
Programs\StartUp\"quot;Microsoft Internet Office.exe"quot;
if exist %USERPROFILE%\Start Menu\Programs\StartUp\
"quot;Microsoft Internet Office.exe"quot; DEL %USERPROFILE%\Start Menu\
Programs\StartUp\"quot;Microsoft Internet Office.exe"quot;
if exist c:\recycled\Sircam.sys DEL c:\recycled\Sircam.sys
REM The following lines apply if Windows is installed to a drive other than C:
if exist %windir%\..\recycled\sirc32.exe ATTRIB -H %windir%\
..\recycled\sirc32.exe
if exist %windir%\..\recycled\sirc32.exe DEL %windir\
..\recycled\sirc32.exe
if exist %windir%\..\recycled\Sircam.sys DEL %windir%\
..\recycled\Sircam.sys
ECHO Removing working storage file
DEL %windir%\sirc.reg
ECHO :
ECHO Done - this machine should now be scanned with an up-to-date version of
ECHO Sophos Anti-Virus including the latest virus identity (IDE) files.
|
