● W32/Sircam-A蠕虫的清除方法 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: fast (平淡), 信区: Virus
标题: W32/Sircam-A蠕虫的清除方法
发信站: 荔园晨风BBS站 (Fri Aug 31 23:50:58 2001), 转信

W32/Sircam-A蠕虫的清除方法
coolinger
名字:W32/Sircam-A
别名:W32.Sircam.Worm@mm， W32/SirCam@mm， Backdoor.SirCam
类别:win32蠕虫
说明
　　W32/Sircam-A是一个网络病毒，它通过EMAIL和打开的网络共享来传播。它通过查找
"我的文件夹"目录里的文件，随机发送一个具备相同名字的主题的EMAIL和这个标题一样
的附件。这个附件的文件名是比较特殊的双后缀名，例如.doc.com或者mpg.pif等。如果
附件被打开的话，那么这个蠕虫就复制自身到windows系统目录下并命名为scam32.exe，
同时它还COPY自身到到垃圾箱文件目录下并命名为sirc32.exe。注意这两个文件的属性
是隐含哦，要看的话先把它的属性改掉。
　　这个蠕虫还改变HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersi
on\RunServices
\Driver32="\SCam32.exe"注册表的值让windows启动的时候自动启动蠕虫，同时还改变
HKEY_CLASSES_ROOT\exefile\shell\open\command=""C:\recycled\SirC32.exe" "%1"
%*"使病毒在用户运行任何EXE程序时被运行。蠕虫使用HKLM\Software\SirCam来存储一
些核心数据。
　　如果蠕虫发现网络上的共享的话，那么它就开始尝试把它自己复制到对方的共享上
面并且命名为rundll32.exe，原始的rundell32.exe被命名为run32.exe.如果这样成功的
话，那么它就改变autoexec.bat来运行被复制到垃圾箱文件目录下的这个蠕虫。
　　这个蠕虫有自己的smtp事务通过WINDOWS的地址薄中和INTERNET缓存中能找到的所有
邮箱地址发送，同一个邮件地址可能发送多个病毒附件。
　　不同的操作系统语言环境可能产生不同的信笺内容，一般情况下:
　　英文系统中的第一行通常为:
　　"Hi! How are you?"
　　接下来选择下面其中的一行来当作第2行的内容:
　　"I send you this file in order to have your advice"
　　"I hope you like the file that I sendo you"
　　"I hope you can help me with this file that I send"
　　"This is the file with the information you ask for"
　　第3行通常为"See you later. Thanks"
　　如果系统是西班牙语言的，那么第一行通常内容为:
　　"Hola como estas ?"
　　第2行从下面的其中一行来选择:
　　"Te mando este archivo para que me des tu punto de vista"
　　"Espero te guste este archivo que te mando"
　　"Espero me puedas ayudar con el archivo que te mando"
　　"Este es el archivo con la informacion que me pediste"
　　最后一行通常为:
　　"Nos vemos pronto， gracias."
　　在10月16日，病毒将尝试把你的硬盘的文件里的文件全部删除。
　　由于病毒使用.EXE .COM .LNK .PIF .BAT的后缀名来执行病毒体，而一般的杀毒软
件都不检查.lnk和.bat的文件，所以你需要把他们也列入检查目录。
清除方法
　　升级你的杀毒软件到最新版，不过就我所尝试下来的杀毒软件似乎在清除方面不怎
么可靠，我尝试的软件是在我心目中印象最好的kill98，这个软件的杀毒包在26.10的时
候就可以查出这个病毒，但是依照www.kill.com.cn的方法用简单的删除方法来清除病毒
会造成所有使用windows环境的软件都出现要求定位sirc32.exe的提示造成软件不能使用
，原因很简单，没有对病毒修改过的register做个修改。其他的金山毒霸等软件似乎对
这个病毒有独特的插件来查杀，可能效果好一点。在这里我提供一个简单的批处理文件
对这个病毒进行杀毒，很简单的哦。据说这个病毒被定义为4级危险程度(最高危险程度
为5)，不管怎么说反正我是已经收到很多这样的病毒了，我都这样了，就知道外面这个
病毒传播的有多迅速拉，呵呵，大家还是赶快升级自己的杀毒软件吧。
killsircam.bat
----------------------------------------------------
@ECHO off
ECHO RMSIRC.BAT -- W32/Sircam-A virus removal utility
ECHO Version 1.30
ECHO Copyright (c) 2001， Sophos Plc， www.sophos.com
ECHO:
REM If received as a text file rename to RMSIRC.BAT.
REM Run by typing RMSIRC.BAT at a command prompt or double-clicking this fil
e.
REM Must have write access to %windir%
ECHO REGEDIT4>%windir%\sirc.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\ RunServices]>>%windir%\sirc.reg
ECHO "Driver32"="Overwritten when removing W32/Sircam-A，
please delete.">>%windir%\sirc.reg
ECHO [HKEY_CLASSES_ROOT\exefile\shell\open\command]
>>%windir%\sirc.reg
ECHO @="\"%%1\" %%*">>%windir%\sirc.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\SirCam]>>%windir%\sirc.reg
ECHO "FB1B"="Overwritten when removing W32/Sircam-A，
please delete.">>%windir%\sirc.reg
ECHO "FB1BA"="Overwritten when removing W32/Sircam-A，
please delete.">>%windir%\sirc.reg
ECHO "FB1BB"="Overwritten when removing W32/Sircam-A，
please delete.">>%windir%\sirc.reg
ECHO "FC0"="Overwritten when removing W32/Sircam-A，
please delete.">>%windir%\sirc.reg
ECHO "FC1"="Overwritten when removing W32/Sircam-A，
please delete.">>%windir%\sirc.reg
ECHO "FC9"="Overwritten when removing W32/Sircam-A，
please delete.">>%windir%\sirc.reg
ECHO "FD1"="Overwritten when removing W32/Sircam-A，
please delete.">>%windir%\sirc.reg
ECHO "FD2"="Overwritten when removing W32/Sircam-A，
please delete.">>%windir%\sirc.reg
ECHO "FD3"="Overwritten when removing W32/Sircam-A，
please delete.">>%windir%\sirc.reg
ECHO "FD7"="Overwritten when removing W32/Sircam-A，
please delete.">>%windir%\sirc.reg
ECHO Copying REGEDIT.EXE to REGEDIT.COM
COPY %windir%\regedit.exe %windir%\regedit.com > NUL
ECHO Removing viral entries from registry
start /w %windir%\regedit.com /s %windir%\sirc.reg
ECHO Cleaning up REGEDIT.COM
DEL %windir%\regedit.com
ECHO Attempting to remove worm files
if exist %windir%\system\scam32.exe ATTRIB -H %windir%\
system\scam32.exe
if exist %windir%\system\scam32.exe DEL %windir%\system\
scam32.exe
if exist %windir%\system32\scam32.exe ATTRIB -H %windir%\
system32\scam32.exe
if exist %windir%\system32\scam32.exe DEL %windir%\
system32\scam32.exe
if exist c:\recycled\sirc32.exe ATTRIB -H c:\recycled\sirc32.exe
if exist c:\recycled\sirc32.exe DEL c:\recycled\sirc32.exe
if exist %TEMP%\sirc32.exe DEL %TEMP%\sirc32.exe
if exist %windir%\run32.exe DEL %windir%\rundll32.exe
if exist %windir%\run32.exe rename %windir%\
run32.exe %windir%\rundll32.exe
if exist %windir%\scmx32.exe DEL %windir%\scmx32.exe
if exist %windir%\Start Menu\Programs\StartUp\
"Microsoft Internet Office.exe" DEL %windir%\Start Menu\
Programs\StartUp\"Microsoft Internet Office.exe"
if exist %USERPROFILE%\Start Menu\Programs\StartUp\
"Microsoft Internet Office.exe" DEL %USERPROFILE%\Start Menu\
Programs\StartUp\"Microsoft Internet Office.exe"
if exist c:\recycled\Sircam.sys DEL c:\recycled\Sircam.sys
REM The following lines apply if Windows is installed to a drive other than
C:
if exist %windir%\..\recycled\sirc32.exe ATTRIB -H %windir%\
..\recycled\sirc32.exe
if exist %windir%\..\recycled\sirc32.exe DEL %windir\
..\recycled\sirc32.exe
if exist %windir%\..\recycled\Sircam.sys DEL %windir%\
..\recycled\Sircam.sys
ECHO Removing working storage file
DEL %windir%\sirc.reg
ECHO :
ECHO Done - this machine should now be scanned with an up-to-date version of

ECHO Sophos Anti-Virus including the latest virus identity (IDE) files.

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.0.127]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店