如果你用了OUTLOOK收发信件,那么可以参考以下文章:
一种首发于英国的恶性网络蠕虫I-WORM/Sircam病毒已经开始大量涌进我国上网用户。
I-WORM/SirCam病毒的特点:
该病毒又名为:斯卡姆、贴先生、粘兄,该病毒都是贴在文件前向外传播的。
I-WORM/Sircam是一个通过EMAIL来传播的INTERNET网络蠕虫程序,其Email的名字是随所随带的文挡的名字而变化的。
该病毒目前有A,B,C3个变种,而不是一种,其病毒的主体长度是:137216、139264、143360字节,病毒贴在泄密的文档前,其总长度大于病毒长度。
它传播自身的同时,也要大量将用户的DOC、XLS、ZIP文档的前部贴上病毒体后再通过互联网到处乱发,已有相当多的文档被泄密。
信件的主题:(随机的,和邮件附件的文件名称一致,显然附件的文件名称是随机获得的)信件的主体:(如果你收到类似的信件的话,请注意)。
Hi! How are you? (嗨,您好!)
I send you this file in order to have your advice(我将此文件发送给您,想听听您的意见)
See you later.Thanks (再见!谢谢)
注:该网络蠕虫本来想从以下的几种中选择中间的那句话的:
1)I send you this file in order to have your advice
我将该文件发送给您,想听听您的意见。
2)I hope you can help me with this file that I send
我想请你帮帮我发送的文件。
3)I hope you like the file that I sendo you
希望您喜欢我给您发送的文件
4)This is the file with the information that you ask for
这是您要的信息文件
但是实际上只能是第一种选择。
信件的附件:和主题一样,只不过加上了双扩展名。
实际上该网络蠕虫的扩展名称可能是:"PIF", "LNK", "BAT", "EXE" 或"COM" 五种中的任意一种;
该病毒的传播能力极其强大,只要是网络服务器上的个人电子信箱的地址被病毒获取,病毒就往信箱内跑,它不是跑进一个病毒体,而是将染毒机器中所有的DOC、XLS、ZIP文档的前部贴上病毒体后再全跑进去,当某部计算机被传染后,病毒再以同样的方式向外传播,因此,病毒按指数方式不断的在网络上疯狂传播,短期内可形成了巨大的病毒潮涌,严重的堵塞了网络的流通,使相当多的网站和网络通信中断服务。
病毒的特性:
当用户打开附件时候,该网络蠕虫程序对系统的注册表增加两项:
(1)HKEY_CLASSES_ROOT/exefile/shell/open/command/Default ,将其数值修改为:
c:/Recycled/SirC32.exe "%1" %*
显然文件:SirC32.exe被拷贝到目录c:/Recycled下,使得所有的EXE文件的执行都必须有文件SirC32.exe(网络蠕虫)文件的支持。
在这一点上和“美丽公园”病毒相似,只不过那时的名称是:files32.vxd.
(2)HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Runservices/Driver32 ,使其数值为c:/windows/system/SCam32.exe.
这个注册表项目的修改,使得系统每次启动后,都能自动执行该网络蠕虫程序的主体部分,该部分在WINDOWS的SYSTEM目录下SCam32.exe.
当注册表修改成功后,该网络蠕虫程序利用自己的特殊的SMTP(发送邮件协议)来给WINDOWS的地址薄里和用户的临时的INTERNET文件夹的所有人(也就是CACHE目录下)发送该网络蠕虫程序本身。
该网络蠕虫程序从“我的文档”的文件夹中,找到DOC、XLS、ZIP等文件名称,该网络蠕虫程序在这些文件的前面依附上自身,并将结果保存在系统的回收站中,并给这些文件又加上如上说的5种扩展名称,使得网络蠕虫的传播时就变成了双扩展名称了。
和某些可以在网络邻居上进行传播的病毒一样(比如常见的FUNLOVE4099病毒),如果该病毒发现存在可以读写的网络邻居的话,它就会将自身拷贝到WINDOWS的目录下,并且将文件的名称修改成为rundll32.exe ,而WINDOWS下的原来的文件名称被修改成run32.exe ,同时也存在该目录下。
如果修改成功的话,系统的自动批处理文件autoexec.bat也会被修改,使得每次系统启动,该网络蠕虫程序都会被执行。
该网络蠕虫程序中,保存着以下的加密字符串:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright 2001 2rP Made in / Hecho en - Cuitzeo,Michoacan Mexico]
该网络蠕虫的破坏作用:
如果受感染的机器上的日期的格式是:日/月/年的话,那么在每年的10月16日该网络蠕虫程序会将C盘上的所有文件以及目录删除;
在该网络蠕虫程序发现自身不完全时,该网络蠕虫程序就会将WINDOWS安装目录所在的驱动器上的文件和所有的子目录完全删除;
同时还会在系统的回收站中写入文件:SirCam.sys.一直到硬盘的剩余空间为零。
清除步骤:
1 启动硬盘,修改上述注册表项;
2 将WINDOWS子目录内的REGEDIT.EXE的扩展名改为COM,成为文件regedit.com ;
3 在WINDOWS“开始”栏内,运行REGEDIT.COM,删除:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
删除其中的名称为Driver32的键值,该键值的值是:Scam32.exe (前面还有WINDOWS的安装目录);
HKEY_CLASSES_ROOT/exefile/shell/open/command/(default)
HKEY_LOCAL_MACHINE /Software/Classes/exefile/shell/open/command/(default)
这两者必须修改成为系统的原来的数值:"%1" %*
而该病毒增加的数值:
HKEY_LOCAL_MACHINE/Software/SirCam 必须整个删除;
一般在该项目下面会含有以下的数值:
FB1B/FB1BA/FB1BB/FC0/FC1/FD1。
其中的FB1BA存放的是SMTP的IP地址;
FB1BB存放的是发送者的EMAIL地址;
FC0是该网络蠕虫程序被执行的次数;
4 对于网络邻居的计算机的感染,可以在受感染的计算机上的文件/windows/run32.exe必须改名为rundll32.exe;
同时删除系统的autoexec.bat文件中的增加的项目:
删除:@win /Recycled/SirC32.exe ;
同时将在系统回收站中的文件SirC32.exe删除。
5 使用干净DOS软盘启动机器。
6 执行KVD3000.EXE或KV3000.EXE, 查杀所有硬盘,查到部分有毒文件时会先问你要删除吗?请按“Y”键删除病毒体。
7 KV3000清除带毒的DOC、XLS、ZIP文件后,用户应再将文件原来的扩展名改回去。
8 删除所有报告为I-WORM/SIRCAM.A的网络蠕虫程序,注意必须将系统的“回收站”同时清空。
9 将WINDOWS目录下的REGEDIT.COM改名称为REGEDIT.EXE.重新启动计算机。
10 对于用户信箱中的该网络蠕虫,必须找到该信件,删除该信件,然后压缩所有的邮件夹;
