大家小心,病毒正在我们中间流行
tanye 2001-08-07 03:43:31 Win32.SirCam.137216蠕虫
Win32.SirCam.137216蠕虫病毒的特征:
Win32.SirCam.137216是一个通过邮件系统传播的蠕虫病毒, 邮件的内容可能是英文或西班牙文。
如果是英文邮件, 内容如下:
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
其中中间一行还可能是以下几种形式之一:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
如果病毒邮件是西班牙文的,内容如下:
Hola como estas ?
Te mando este archivo para que me des tu punto de vista
Nos vemos pronto, gracias.
同样中间一行还可能是以下几种形式之一:
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informaci que me pediste
病毒所携带的附件的名字是变化的,文件将带有双扩展名,比如 "SCRIPT.DOC.PIF"。其中后一个扩展名还可能是"PIF", "LNK", "BAT", "EXE" 或 "COM".之一。 邮件的主题将同附件的名称一样,但不带扩展名。病毒附件被激活时,病毒将把自身拷贝到"C:\RECYCLED\目录下(文件名称SirC32.ex")和 Windows系统目录下(文件名称"SCam32.exe")。
该病毒还修改注册表的以下键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Driver32="\SCam32.exe"
HKEY_CLASSES_ROOT\exefile\shell\open\command=""C:\recycled\SirC32.exe" "%1" %*"
第一个键值能使蠕虫病毒在每次WINDOWS启动时都被运行,第二个键值能使病毒在用户运行任何EXE程序时被运行。
这个蠕虫从"我的文挡"文件夹中选择一个DOC或XLS或ZIP文件,将被选中的文件粘在病毒文件后,然后将合并后的文件附加上第二个扩展名(前面提到的扩展名之一)后保存到"回收站"文件夹中。这个文件将被病毒用来向其它EMAIL地址发送。
重复以上方法,病毒可能创造多个病毒副本,并向WINDOWS的地址薄中和INTERNET缓存中能找到的所有邮箱地址发送, 同一个邮件地址可能发送多个病毒附件。
Win32.SirCam.137216蠕虫病毒的检测和清除:
1. 删除以下注册表键的 "Driver32" 值 "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices".
2. 删除 "HKEY_LOCAL_MACHINE\Software\SirCam" 和其子键.
3. 将以下键中的 "默认" 值改为原值:"%1" %* "HKEY_CLASSES_ROOT\exefile\shell\open\command
4. 删除以下文件: Recycled\Sirc32.exe, Windows\System\SCam32.exe.
5. 如果系统中rundll32.EXE文件被重命名了,搜索文件run32.exe 并将其改为RUNDLL32.EXE. 打开AUTOEXEC.BAT文件,删除里面含有\recycled\SirC32.exe的行.建议给AUTOEXEC.BAT文件赋予只读属性.
6. 网络共享资源用密码保护(增加密码访问).
7.如果KILL 检测出在RECYCLED目录里有病毒文件, 但是通过WINDOWS资源管理器查看RECYCLED子目录下没有文件, 这种情况下, 打开一个DOS窗口,进入RECYCLED子目录,用ATTRIB -H *.*命令清除RECYCLED目录里所有隐藏文件的属性, 然后用DELETE将所有RECYCLED里面的所有病毒文件删除
8.以上是手工清除的方法,其中1-3步注册表的清除,也可以下载自动修复文件fix_sircam.inf,在文件上按鼠标右键,选“安装”自动完成。
带病毒发件人: cjx_8848@8848.net
sl-wu@yepg.yn.cn