是个木马?
www.csdn.net
关于病毒及木马事件的公告--严重警告传播病毒和木马者,我们随时都可能通知公安机关。
最近又有人在CSDN传播木马和病毒,而且很猖狂,这次传播的病毒和木马已经造成很大的影响,公安
局早就在注意你们了。不要以为CSDN一直没有行动,就以为CSDN放任你的行为,你的所有动作已经被记录
在案(而且已经压成了ZIP包刻到光盘上了,就算你能黑掉我的机器,黑掉服务器,这个证据也没有办法
抹去的),公司的法律顾问认为,这些足以判个十年八年的(这还不考虑现在重点打击信息犯罪的因素)
。
请相关版块的版主不要删除相关帖子,以保留证据
这个事情分两个部分
一、病毒
传播者也是制造者:mincer,同时在CSDN上还有另一个帐号bluestar007,该病毒的一些主要特征如
下:
1)中毒者的计算机会自己向外发送邮件,收件人是通讯簿中地址,标题是随机从我的文档中找的一
个字符串,并带有还病毒程序的附件,附件表面开是一个不可执行的文件,实际是一个EXE,千万不要执
行。
2)中毒者自己可能不知情,应该给发信人回信,告诉它"你中病毒了"。
近日流行一种新病毒,其病毒特性如下:
病毒名:Worm.Sircam.137216(金山毒霸命名)
病毒类型:蠕虫病毒
发现日期:7月20日
病毒简介:
Worm.Sircam.137216病毒是一个蠕虫病毒,如果不小心运行,它会拷贝自己的有效代码到windows的
system目录,名为Scam32.exe,并修改注册表HKLM Software Microsoft Windows Current Version Run
Services Driver 32指向该文件。以便下次启动时启动。同时,它还会拷贝自己到Recycled目录,并修改
注册表的exe文件关联(HKLM SOFT WARE Classes exe file shell open command)指向改文件。
病毒发送附件时会选择一个正常文件做伪装,将自身代码放在前面,正常文件附加在后面。在发送出
去。当收信人打开附件,病毒文件会将自身文件和正常文件分开放到Recycled目录,运行自身并打开正常
文件。极具隐蔽性。病毒还会通过网络共享将自己拷贝到共享了windows目录的其它机器中(windows目录)
文件名为rundll32.exe,原来的rundll32.exe改名run32.exe。
危险等级:4级(5级最高)
病毒类别:蠕虫
表现:邮件正文是如下的一段英文或西班牙文,中间内容有可能出入,但首尾两句不变。
英文:Hi! How are you?
I send you this file in order to have your advice(中间一句有可能不是这样的)
See you later. Thanks
西班牙文:
Hola como estas ?
(中间内容有可能是多种情况,首尾不变)
Last line: Nos vemos pronto, gracias.
危害:
1、群发邮件,选择随机文档附加在你的机器的通讯簿的随机地址进行发送
2、删除硬盘文件,特别注意:删除的条件是你的机器使用“日/月/年”的日期格式
3、每一次启动都在你的硬盘上写数据,直到塞满硬盘
4、泄漏机密:随机将你硬盘上的文件附加进邮件发送
中毒者请向杀毒软件商求助,或者按照以下办法清除
1、清空回收站,因为Sircam.sys文件将隐藏在回收站中
2、在DOS模式下打开Autoexec.bat文件,如果有如下字段则删除"@win /recycled/sirc32.exe"
3、更改注册表
3.1 将regedit.exe 改名为 regedit.com 因为此种病毒在每运行一次exe文件的同时都会发作一次
3.2 进入dos模式,键入"copy regedit.exe regedit.com"。
3.3 回到windows模式,进入注册表编辑器,查找主键:
HKEY_CLASSES_ROOT/exefile/shell/open/command
删除其原有键值,并将其键值改为 "%1" %*
3.4 查找主键 HKEY_LOCAL_MACHINE/Software/SirCam 并将其删除
3.5 查找主键 HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
在其右侧的面板中,如果有 Driver32. 则坚决删除
