荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: bigworld (渴望流浪), 信区: Virus
标  题: Sircam病毒发作机制及解毒方法
发信站: 荔园晨风BBS站 (Wed Jul 25 09:06:05 2001), 转信

一种首发于英国的恶性网络蠕虫I-WORM/Sircam病毒已经在国内开始肆虐,国家反
病毒应急处理中心成员单位、北京江民公司两天内接到告急用户近百个。江民公司
著名反病毒专家王江民告诫广大上网用户,一旦染上该病毒,将导致大量文件被删
除,他提醒广大用户尽快升级最新版反病毒软件KV3000,并开启KVW3000病毒实时
监测防火墙,可有效防范该病毒的侵犯。


  据介绍,I-WORM/Sircam病毒的特点如下:

  病毒的主体长度是:137216字节,其Email附件长度有的大于此长度。

  I-WORM/Sircam是一个通过EMAIL来传播的INTERNET网络蠕虫程序,其Email的
名字是随机变化的。它传播自身的同时也要传送用户的文档,在一定程度上可造成
泄密;

  信件的主题:随机的,和邮件附件的文件名称一致,显然附件的文件名称是随
机获得的;

  信件的主体:(如果你收到类似的信件的话,请注意)。

  Hi! How are you?(嗨,您好!)

  I send you this file insgroupsto have your advice。

  (我将此文件发送给您,想听听您的意见)

  See you later。Thanks。(再见!谢谢)

  注:该网络蠕虫本来想从以下的几种中选择中间的那句话的:

  (1)I send you this file insgroupsto have your advice

  我将该文件发送给您,想听听您的意见。

  (2)I hope you can help me with this file that I send。

  我想请你帮帮我发送的文件。

  (3)I hope you like the file that I send to you。

  希望您喜欢我给您发送的文件

  (4)This is the file with the information that you ask for。

  这是您要的信息文件。

  但是实际上只能是第一种选择。

  信件的附件:和主题一样,只不过加上了双扩展名。

  实际上该网络蠕虫的扩展名称可能是:"PIF", "LNK", "BAT", "EXE"或"COM"
五种中的任意一种;

  病毒的特性:当用户打开附件时,该网络蠕虫程序对系统的注册表增加两项:


  (1)HKEY_CLASSES_ROOT\exefile\shell\open\command\Default ,将其数
值修改为:

  c:\Recycled\SirC32.exe "%1"" %*";

  显然文件SirC32.exe被拷贝到目录c:\Recycled下,使得所有的EXE文件的执
行都必须有文件SirC32.exe(网络蠕虫)文件的支持。

  在这一点上和"美丽公园"病毒相似,只不过那时的名称是:files32.vxd。

  (2)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion


  Runservices\Driver32 ,使其数值为c:\windows\system\SCam32.exe。

  这个注册表项目的修改,使得系统每次启动后,都能自动执行该网络蠕虫程序
的主体部分,该部分在WINDOWS的SYSTEM目录下SCam32.exe。

  当注册表修改成功后,该网络蠕虫程序利用自己的特殊的SMTP(发送邮件协议
)来给WINDOWS的地址薄里和用户的临时的INTERNET文件夹的所有人(也就是CACHE目
录下)发送该网络蠕虫程序本身。

  该网络蠕虫程序从"我的文档"的文件夹中,找到DOC、XLS、ZIP等文件名称,
然后在这些文件的后面依附上自身,并将结果保存在系统的回收站中,同时给这些
文件又加上如上说的5种扩展名称,使得网络蠕虫在传播时就变成了双扩展名称了


  和某些可以在网络邻居上进行传播的病毒一样(比如常见的FUNLOVE4099病毒)
,如果该病毒发现存在可以读写的网络邻居的话,它就会将自身拷贝到WINDOWS的
目录下,并且将文件的名称修改成为rundll32.exe ,而WINDOWS下的原来的文件名
称被修改成run32.exe ,同时也存在该目录下。

  如果修改成功的话,系统的自动批处理文件autoexec.bat也会被修改,使得每
次系统启动,该网络蠕虫程序都会被执行。

  该网络蠕虫程序中,保存着以下的加密字符串:

  [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

  [SirCam Version 1.0 Copyright 2001 2rP Made in / Hecho en -
Cuitzeo,

  Michoacan Mexico]

  该网络蠕虫的破坏作用:

  如果受感染的机器上的日期的格式是:日/月/年的话,那么在每年的10月16日
该网络蠕虫程序会将C盘上的所有文件以及目录删除;

  在该网络蠕虫程序发现自身不完全时,该网络蠕虫程序就会将WINDOWS安装目
录所在的驱动器上的文件和所有的子目录完全删除;

  同时还会在系统的回收站中写入文件:SirCam.sys.一直到硬盘的剩余空间为
零。

  针对该病毒,目前江民公司已列出完整的清除方案。具体清除步骤如下:

  1.使用干净DOS软盘启动机器;

  2.执行KVD3000.EXE或KV3000.EXE,查杀所有硬盘,查到部分有毒文件时会先问
你要删除吗ⅶ请按"Y"键删除病毒体;

  3.删除所有报告为I-WORM/SIRCAM.A的网络蠕虫程序,注意必须将系统的"回收
站"同时清空;

  4.修改上述注册表项;

  必须修改系统的注册表:修改系统注册表的命令是REGEDIT.EXE,可以从系统的
运行命令中执行;

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices

  删除其中的名称为Driver32的键值,该键值的值是:Scam32.exe (前面还有
WINDOWS的安装目录);

  HKEY_CLASSES_ROOT\exefile\shell\open\command\(default)

  HKEY_LOCAL_MACHINE \Software\Classes\exefile\shell\open\
command\(default)

  这两者必须修改成为系统的原来的数值:"%1""%*"

  而该病毒增加的数值:

  HKEY_LOCAL_MACHINE\Software\SirCam必须整个删除;

  一般在该项目下面会含有以下的数值:

  FB1B/FB1BA/FB1BB/FC0/FC1/FD1。

  其中的FB1BA存放的是SMTP的IP地址;

  FB1BB存放的是发送者的EMAIL地址;

  FC0是该网络蠕虫程序被执行的次数;

  5.现在您可以重新启动计算机;

  6.进入DOS模式:

  一般的是:c:\windows>;执行如下的命令:

  cd\Recycled

  c:\Recycled>attrib -r sirc32.exe

  c:\Recycled>del sirc32.exe

  c:\Recycled>cd ..

  c:\>cd windows

  c:\windows>attrib -r scam32.exe

  c:\windows>del scam32.exe

  7.对于网络邻居的计算机的感染,可以在受感染的计算机上的文件

  \windows\run32.exe必须改名为rundll32.exe;

  同时删除系统的autoexec.bat文件中的增加的项目:

  删除@win \Recycled\SirC32.exe;

  并将在系统回收站中的文件SirC32.exe删除。





--

                 爱一个人好难!

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.36.163]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店