5,388
社区成员
发帖
与我相关
我的任务
分享真是邪了门了
我最近老是收到这样一封邮件
发件人:luf
主题:货架报价
内容:
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
还有一个附件:'货架报价.xls.bat(152K)'或'货架报价.xls.pif'
我把扩展名改为exe,它还有图标,我没敢执行。
大伙见过吗?
发件人:luf
主题:货架报价
内容:
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
还有一个附件:'货架报价.xls.bat(152K)'或'货架报价.xls.pif'
我把扩展名改为exe,它还有图标,我没敢执行。
大伙见过吗?
...全文
请发表友善的回复…
发表回复
snjun 2001-08-14
- 打赏
- 举报
up
coolbaby 2001-08-13
- 打赏
- 举报
是病毒,我也有!
snjun 2001-08-13
- 打赏
- 举报
thanks
wolfAone 2001-08-10
- 打赏
- 举报
> 今年的病毒出的就象今年的台风一样多、一样快,请多加小心了!
> 請傳給所有 有email的朋友.!!!超急件!!!
> 如果你收到一封email叫作"Lets watch TV"(來看電視) 別打開它. 他會清除硬盤所
> 有東西。
>
> 這訊息得自昨天早上IBM發佈的消息; AOL 說"KALI" 是個危險的病毒, 比"Melissa,
> 更可怕" 目前無解
> 救之法. 有些嚴重者使用Norton Utilities 的重新製作格式功能才成功解除,導致
> 所有硬碟中文件被刪除. 它被設計與瀏覽器 Netscape , Navigator(領航員) 與
> Microsoft Internet Explorer(IE)一起"工作 ". 摧毀麥金塔及IBM 及相容機型。 這
> 是個很"惡直"的病毒並少有人知悉。
>
> 請將這警告傳給所有有email的朋友
>
>
> 請傳給所有 有email的朋友.!!!超急件!!!
> 如果你收到一封email叫作"Lets watch TV"(來看電視) 別打開它. 他會清除硬盤所
> 有東西。
>
> 這訊息得自昨天早上IBM發佈的消息; AOL 說"KALI" 是個危險的病毒, 比"Melissa,
> 更可怕" 目前無解
> 救之法. 有些嚴重者使用Norton Utilities 的重新製作格式功能才成功解除,導致
> 所有硬碟中文件被刪除. 它被設計與瀏覽器 Netscape , Navigator(領航員) 與
> Microsoft Internet Explorer(IE)一起"工作 ". 摧毀麥金塔及IBM 及相容機型。 這
> 是個很"惡直"的病毒並少有人知悉。
>
> 請將這警告傳給所有有email的朋友
>
>
snjun 2001-08-10
- 打赏
- 举报
同情
ch81 2001-08-07
- 打赏
- 举报
兄弟,千万别执行。我的不幸。。。。重装。
主要是有了病毒后,金山毒霸乱杀文件。结果,。。。。
早知不要用他杀了。!!
主要是有了病毒后,金山毒霸乱杀文件。结果,。。。。
早知不要用他杀了。!!
snjun 2001-08-07
- 打赏
- 举报
up
snjun 2001-08-07
- 打赏
- 举报
不执行没问题吧?
snjun 2001-08-07
- 打赏
- 举报
我刚才在‘关于病毒及木马事件的公告’里边看到了
shuyi 2001-08-07
- 打赏
- 举报
一种首发于英国的恶性网络蠕虫I-WORM/Sircam病毒已经开始大量涌进我国上网用户。
I-WORM/SirCam病毒的特点:
该病毒又名为:斯卡姆、贴先生、粘兄,该病毒都是贴在文件前向外传播的。
I-WORM/Sircam是一个通过EMAIL来传播的INTERNET网络蠕虫程序,其Email的名字是随所随带的文挡的名字而变化的。
该病毒目前有A,B,C3个变种,而不是一种,其病毒的主体长度是:137216、139264、143360字节,病毒贴在泄密的文档前,其总长度大于病毒长度。
它传播自身的同时,也要大量将用户的DOC、XLS、ZIP文档的前部贴上病毒体后再通过互联网到处乱发,已有相当多的文档被泄密。
信件的主题:(随机的,和邮件附件的文件名称一致,显然附件的文件名称是随机获得的)信件的主体:(如果你收到类似的信件的话,请注意)。
Hi! How are you? (嗨,您好!)
I send you this file in order to have your advice(我将此文件发送给您,想听听您的意见)
See you later.Thanks (再见!谢谢)
注:该网络蠕虫本来想从以下的几种中选择中间的那句话的:
1)I send you this file in order to have your advice
我将该文件发送给您,想听听您的意见。
2)I hope you can help me with this file that I send
我想请你帮帮我发送的文件。
3)I hope you like the file that I sendo you
希望您喜欢我给您发送的文件
4)This is the file with the information that you ask for
这是您要的信息文件
但是实际上只能是第一种选择。
信件的附件:和主题一样,只不过加上了双扩展名。
实际上该网络蠕虫的扩展名称可能是:"PIF", "LNK", "BAT", "EXE" 或"COM" 五种中的任意一种;
该病毒的传播能力极其强大,只要是网络服务器上的个人电子信箱的地址被病毒获取,病毒就往信箱内跑,它不是跑进一个病毒体,而是将染毒机器中所有的DOC、XLS、ZIP文档的前部贴上病毒体后再全跑进去,当某部计算机被传染后,病毒再以同样的方式向外传播,因此,病毒按指数方式不断的在网络上疯狂传播,短期内可形成了巨大的病毒潮涌,严重的堵塞了网络的流通,使相当多的网站和网络通信中断服务。
病毒的特性:
当用户打开附件时候,该网络蠕虫程序对系统的注册表增加两项:
(1)HKEY_CLASSES_ROOT\exefile\shell\open\command\Default ,将其数值修改为:
c:\Recycled\SirC32.exe "%1" %* ;
显然文件:SirC32.exe被拷贝到目录c:\Recycled下,使得所有的EXE文件的执行都必须有文件SirC32.exe(网络蠕虫)文件的支持。
在这一点上和“美丽公园”病毒相似,只不过那时的名称是:files32.vxd.
(2)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices\Driver32 ,使其数值为c:\windows\system\SCam32.exe.
这个注册表项目的修改,使得系统每次启动后,都能自动执行该网络蠕虫程序的主体部分,该部分在WINDOWS的SYSTEM目录下SCam32.exe.
当注册表修改成功后,该网络蠕虫程序利用自己的特殊的SMTP(发送邮件协议)来给WINDOWS的地址薄里和用户的临时的INTERNET文件夹的所有人(也就是CACHE目录下)发送该网络蠕虫程序本身。
该网络蠕虫程序从“我的文档”的文件夹中,找到DOC、XLS、ZIP等文件名称,该网络蠕虫程序在这些文件的前面依附上自身,并将结果保存在系统的回收站中,并给这些文件又加上如上说的5种扩展名称,使得网络蠕虫的传播时就变成了双扩展名称了。
和某些可以在网络邻居上进行传播的病毒一样(比如常见的FUNLOVE4099病毒),如果该病毒发现存在可以读写的网络邻居的话,它就会将自身拷贝到WINDOWS的目录下,并且将文件的名称修改成为rundll32.exe ,而WINDOWS下的原来的文件名称被修改成run32.exe ,同时也存在该目录下。
如果修改成功的话,系统的自动批处理文件autoexec.bat也会被修改,使得每次系统启动,该网络蠕虫程序都会被执行。
该网络蠕虫程序中,保存着以下的加密字符串:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright 2001 2rP Made in / Hecho en - Cuitzeo,Michoacan Mexico]
该网络蠕虫的破坏作用:
如果受感染的机器上的日期的格式是:日/月/年的话,那么在每年的10月16日该网络蠕虫程序会将C盘上的所有文件以及目录删除;
在该网络蠕虫程序发现自身不完全时,该网络蠕虫程序就会将WINDOWS安装目录所在的驱动器上的文件和所有的子目录完全删除;
同时还会在系统的回收站中写入文件:SirCam.sys.一直到硬盘的剩余空间为零。
清除步骤:
1 启动硬盘,修改上述注册表项;
2 将WINDOWS子目录内的REGEDIT.EXE的扩展名改为COM,成为文件regedit.com ;
3 在WINDOWS“开始”栏内,运行REGEDIT.COM,删除:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
删除其中的名称为Driver32的键值,该键值的值是:Scam32.exe (前面还有WINDOWS的安装目录);
HKEY_CLASSES_ROOT\exefile\shell\open\command\(default)
HKEY_LOCAL_MACHINE \Software\Classes\exefile\shell\open\command\(default)
这两者必须修改成为系统的原来的数值:"%1" %*
而该病毒增加的数值:
HKEY_LOCAL_MACHINE\Software\SirCam 必须整个删除;
一般在该项目下面会含有以下的数值:
FB1B/FB1BA/FB1BB/FC0/FC1/FD1。
其中的FB1BA存放的是SMTP的IP地址;
FB1BB存放的是发送者的EMAIL地址;
FC0是该网络蠕虫程序被执行的次数;
4 对于网络邻居的计算机的感染,可以在受感染的计算机上的文件\windows\run32.exe必须改名为rundll32.exe;
同时删除系统的autoexec.bat文件中的增加的项目:
删除:@win \Recycled\SirC32.exe ;
同时将在系统回收站中的文件SirC32.exe删除。
5 使用干净DOS软盘启动机器。
6 执行KVD3000.EXE或KV3000.EXE, 查杀所有硬盘,查到部分有毒文件时会先问你要删除吗?请按“Y”键删除病毒体。
7 KV3000清除带毒的DOC、XLS、ZIP文件后,用户应再将文件原来的扩展名改回去。
8 删除所有报告为I-WORM/SIRCAM.A的网络蠕虫程序,注意必须将系统的“回收站”同时清空。
9 将WINDOWS目录下的REGEDIT.COM改名称为REGEDIT.EXE.重新启动计算机。
10 对于用户信箱中的该网络蠕虫,必须找到该信件,删除该信件,然后压缩所有的邮件夹;
I-WORM/SirCam病毒的特点:
该病毒又名为:斯卡姆、贴先生、粘兄,该病毒都是贴在文件前向外传播的。
I-WORM/Sircam是一个通过EMAIL来传播的INTERNET网络蠕虫程序,其Email的名字是随所随带的文挡的名字而变化的。
该病毒目前有A,B,C3个变种,而不是一种,其病毒的主体长度是:137216、139264、143360字节,病毒贴在泄密的文档前,其总长度大于病毒长度。
它传播自身的同时,也要大量将用户的DOC、XLS、ZIP文档的前部贴上病毒体后再通过互联网到处乱发,已有相当多的文档被泄密。
信件的主题:(随机的,和邮件附件的文件名称一致,显然附件的文件名称是随机获得的)信件的主体:(如果你收到类似的信件的话,请注意)。
Hi! How are you? (嗨,您好!)
I send you this file in order to have your advice(我将此文件发送给您,想听听您的意见)
See you later.Thanks (再见!谢谢)
注:该网络蠕虫本来想从以下的几种中选择中间的那句话的:
1)I send you this file in order to have your advice
我将该文件发送给您,想听听您的意见。
2)I hope you can help me with this file that I send
我想请你帮帮我发送的文件。
3)I hope you like the file that I sendo you
希望您喜欢我给您发送的文件
4)This is the file with the information that you ask for
这是您要的信息文件
但是实际上只能是第一种选择。
信件的附件:和主题一样,只不过加上了双扩展名。
实际上该网络蠕虫的扩展名称可能是:"PIF", "LNK", "BAT", "EXE" 或"COM" 五种中的任意一种;
该病毒的传播能力极其强大,只要是网络服务器上的个人电子信箱的地址被病毒获取,病毒就往信箱内跑,它不是跑进一个病毒体,而是将染毒机器中所有的DOC、XLS、ZIP文档的前部贴上病毒体后再全跑进去,当某部计算机被传染后,病毒再以同样的方式向外传播,因此,病毒按指数方式不断的在网络上疯狂传播,短期内可形成了巨大的病毒潮涌,严重的堵塞了网络的流通,使相当多的网站和网络通信中断服务。
病毒的特性:
当用户打开附件时候,该网络蠕虫程序对系统的注册表增加两项:
(1)HKEY_CLASSES_ROOT\exefile\shell\open\command\Default ,将其数值修改为:
c:\Recycled\SirC32.exe "%1" %* ;
显然文件:SirC32.exe被拷贝到目录c:\Recycled下,使得所有的EXE文件的执行都必须有文件SirC32.exe(网络蠕虫)文件的支持。
在这一点上和“美丽公园”病毒相似,只不过那时的名称是:files32.vxd.
(2)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices\Driver32 ,使其数值为c:\windows\system\SCam32.exe.
这个注册表项目的修改,使得系统每次启动后,都能自动执行该网络蠕虫程序的主体部分,该部分在WINDOWS的SYSTEM目录下SCam32.exe.
当注册表修改成功后,该网络蠕虫程序利用自己的特殊的SMTP(发送邮件协议)来给WINDOWS的地址薄里和用户的临时的INTERNET文件夹的所有人(也就是CACHE目录下)发送该网络蠕虫程序本身。
该网络蠕虫程序从“我的文档”的文件夹中,找到DOC、XLS、ZIP等文件名称,该网络蠕虫程序在这些文件的前面依附上自身,并将结果保存在系统的回收站中,并给这些文件又加上如上说的5种扩展名称,使得网络蠕虫的传播时就变成了双扩展名称了。
和某些可以在网络邻居上进行传播的病毒一样(比如常见的FUNLOVE4099病毒),如果该病毒发现存在可以读写的网络邻居的话,它就会将自身拷贝到WINDOWS的目录下,并且将文件的名称修改成为rundll32.exe ,而WINDOWS下的原来的文件名称被修改成run32.exe ,同时也存在该目录下。
如果修改成功的话,系统的自动批处理文件autoexec.bat也会被修改,使得每次系统启动,该网络蠕虫程序都会被执行。
该网络蠕虫程序中,保存着以下的加密字符串:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright 2001 2rP Made in / Hecho en - Cuitzeo,Michoacan Mexico]
该网络蠕虫的破坏作用:
如果受感染的机器上的日期的格式是:日/月/年的话,那么在每年的10月16日该网络蠕虫程序会将C盘上的所有文件以及目录删除;
在该网络蠕虫程序发现自身不完全时,该网络蠕虫程序就会将WINDOWS安装目录所在的驱动器上的文件和所有的子目录完全删除;
同时还会在系统的回收站中写入文件:SirCam.sys.一直到硬盘的剩余空间为零。
清除步骤:
1 启动硬盘,修改上述注册表项;
2 将WINDOWS子目录内的REGEDIT.EXE的扩展名改为COM,成为文件regedit.com ;
3 在WINDOWS“开始”栏内,运行REGEDIT.COM,删除:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
删除其中的名称为Driver32的键值,该键值的值是:Scam32.exe (前面还有WINDOWS的安装目录);
HKEY_CLASSES_ROOT\exefile\shell\open\command\(default)
HKEY_LOCAL_MACHINE \Software\Classes\exefile\shell\open\command\(default)
这两者必须修改成为系统的原来的数值:"%1" %*
而该病毒增加的数值:
HKEY_LOCAL_MACHINE\Software\SirCam 必须整个删除;
一般在该项目下面会含有以下的数值:
FB1B/FB1BA/FB1BB/FC0/FC1/FD1。
其中的FB1BA存放的是SMTP的IP地址;
FB1BB存放的是发送者的EMAIL地址;
FC0是该网络蠕虫程序被执行的次数;
4 对于网络邻居的计算机的感染,可以在受感染的计算机上的文件\windows\run32.exe必须改名为rundll32.exe;
同时删除系统的autoexec.bat文件中的增加的项目:
删除:@win \Recycled\SirC32.exe ;
同时将在系统回收站中的文件SirC32.exe删除。
5 使用干净DOS软盘启动机器。
6 执行KVD3000.EXE或KV3000.EXE, 查杀所有硬盘,查到部分有毒文件时会先问你要删除吗?请按“Y”键删除病毒体。
7 KV3000清除带毒的DOC、XLS、ZIP文件后,用户应再将文件原来的扩展名改回去。
8 删除所有报告为I-WORM/SIRCAM.A的网络蠕虫程序,注意必须将系统的“回收站”同时清空。
9 将WINDOWS目录下的REGEDIT.COM改名称为REGEDIT.EXE.重新启动计算机。
10 对于用户信箱中的该网络蠕虫,必须找到该信件,删除该信件,然后压缩所有的邮件夹;
