1,075
社区成员
发帖
与我相关
我的任务
分享大家小心,病毒正在我们中间流行
Win32.SirCam.137216蠕虫
Win32.SirCam.137216蠕虫病毒的特征:
Win32.SirCam.137216是一个通过邮件系统传播的蠕虫病毒, 邮件的内容可能是英文或西班牙文。
如果是英文邮件, 内容如下:
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
其中中间一行还可能是以下几种形式之一:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
如果病毒邮件是西班牙文的,内容如下:
Hola como estas ?
Te mando este archivo para que me des tu punto de vista
Nos vemos pronto, gracias.
同样中间一行还可能是以下几种形式之一:
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informaci que me pediste
病毒所携带的附件的名字是变化的,文件将带有双扩展名,比如 "SCRIPT.DOC.PIF"。其中后一个扩展名还可能是"PIF", "LNK", "BAT", "EXE" 或 "COM".之一。 邮件的主题将同附件的名称一样,但不带扩展名。病毒附件被激活时,病毒将把自身拷贝到"C:\RECYCLED\目录下(文件名称SirC32.ex")和 Windows系统目录下(文件名称"SCam32.exe")。
该病毒还修改注册表的以下键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Driver32="\SCam32.exe"
HKEY_CLASSES_ROOT\exefile\shell\open\command=""C:\recycled\SirC32.exe" "%1" %*"
第一个键值能使蠕虫病毒在每次WINDOWS启动时都被运行,第二个键值能使病毒在用户运行任何EXE程序时被运行。
这个蠕虫从"我的文挡"文件夹中选择一个DOC或XLS或ZIP文件,将被选中的文件粘在病毒文件后,然后将合并后的文件附加上第二个扩展名(前面提到的扩展名之一)后保存到"回收站"文件夹中。这个文件将被病毒用来向其它EMAIL地址发送。
重复以上方法,病毒可能创造多个病毒副本,并向WINDOWS的地址薄中和INTERNET缓存中能找到的所有邮箱地址发送, 同一个邮件地址可能发送多个病毒附件。
Win32.SirCam.137216蠕虫病毒的检测和清除:
1. 删除以下注册表键的 "Driver32" 值 "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices".
2. 删除 "HKEY_LOCAL_MACHINE\Software\SirCam" 和其子键.
3. 将以下键中的 "默认" 值改为原值:"%1" %* "HKEY_CLASSES_ROOT\exefile\shell\open\command
4. 删除以下文件: Recycled\Sirc32.exe, Windows\System\SCam32.exe.
5. 如果系统中rundll32.EXE文件被重命名了,搜索文件run32.exe 并将其改为RUNDLL32.EXE. 打开AUTOEXEC.BAT文件,删除里面含有\recycled\SirC32.exe的行.建议给AUTOEXEC.BAT文件赋予只读属性.
6. 网络共享资源用密码保护(增加密码访问).
7.如果KILL 检测出在RECYCLED目录里有病毒文件, 但是通过WINDOWS资源管理器查看RECYCLED子目录下没有文件, 这种情况下, 打开一个DOS窗口,进入RECYCLED子目录,用ATTRIB -H *.*命令清除RECYCLED目录里所有隐藏文件的属性, 然后用DELETE将所有RECYCLED里面的所有病毒文件删除
8.以上是手工清除的方法,其中1-3步注册表的清除,也可以下载自动修复文件fix_sircam.inf,在文件上按鼠标右键,选“安装”自动完成。
带病毒发件人: cjx_8848@8848.net
sl-wu@yepg.yn.cn
Win32.SirCam.137216蠕虫病毒的特征:
Win32.SirCam.137216是一个通过邮件系统传播的蠕虫病毒, 邮件的内容可能是英文或西班牙文。
如果是英文邮件, 内容如下:
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
其中中间一行还可能是以下几种形式之一:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
如果病毒邮件是西班牙文的,内容如下:
Hola como estas ?
Te mando este archivo para que me des tu punto de vista
Nos vemos pronto, gracias.
同样中间一行还可能是以下几种形式之一:
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informaci que me pediste
病毒所携带的附件的名字是变化的,文件将带有双扩展名,比如 "SCRIPT.DOC.PIF"。其中后一个扩展名还可能是"PIF", "LNK", "BAT", "EXE" 或 "COM".之一。 邮件的主题将同附件的名称一样,但不带扩展名。病毒附件被激活时,病毒将把自身拷贝到"C:\RECYCLED\目录下(文件名称SirC32.ex")和 Windows系统目录下(文件名称"SCam32.exe")。
该病毒还修改注册表的以下键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Driver32="\SCam32.exe"
HKEY_CLASSES_ROOT\exefile\shell\open\command=""C:\recycled\SirC32.exe" "%1" %*"
第一个键值能使蠕虫病毒在每次WINDOWS启动时都被运行,第二个键值能使病毒在用户运行任何EXE程序时被运行。
这个蠕虫从"我的文挡"文件夹中选择一个DOC或XLS或ZIP文件,将被选中的文件粘在病毒文件后,然后将合并后的文件附加上第二个扩展名(前面提到的扩展名之一)后保存到"回收站"文件夹中。这个文件将被病毒用来向其它EMAIL地址发送。
重复以上方法,病毒可能创造多个病毒副本,并向WINDOWS的地址薄中和INTERNET缓存中能找到的所有邮箱地址发送, 同一个邮件地址可能发送多个病毒附件。
Win32.SirCam.137216蠕虫病毒的检测和清除:
1. 删除以下注册表键的 "Driver32" 值 "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices".
2. 删除 "HKEY_LOCAL_MACHINE\Software\SirCam" 和其子键.
3. 将以下键中的 "默认" 值改为原值:"%1" %* "HKEY_CLASSES_ROOT\exefile\shell\open\command
4. 删除以下文件: Recycled\Sirc32.exe, Windows\System\SCam32.exe.
5. 如果系统中rundll32.EXE文件被重命名了,搜索文件run32.exe 并将其改为RUNDLL32.EXE. 打开AUTOEXEC.BAT文件,删除里面含有\recycled\SirC32.exe的行.建议给AUTOEXEC.BAT文件赋予只读属性.
6. 网络共享资源用密码保护(增加密码访问).
7.如果KILL 检测出在RECYCLED目录里有病毒文件, 但是通过WINDOWS资源管理器查看RECYCLED子目录下没有文件, 这种情况下, 打开一个DOS窗口,进入RECYCLED子目录,用ATTRIB -H *.*命令清除RECYCLED目录里所有隐藏文件的属性, 然后用DELETE将所有RECYCLED里面的所有病毒文件删除
8.以上是手工清除的方法,其中1-3步注册表的清除,也可以下载自动修复文件fix_sircam.inf,在文件上按鼠标右键,选“安装”自动完成。
带病毒发件人: cjx_8848@8848.net
sl-wu@yepg.yn.cn
...全文
请发表友善的回复…
发表回复
tanye 2001-08-17
- 打赏
- 举报
hy TO:冯家祥 有病毒
Hanson_bati_zhu 2001-08-17
- 打赏
- 举报
我已经不用OUTLOOK了
现在看邮件都在网页上看
如果有什么奇怪的邮件
一律。。。。。。。。。。干掉
现在看邮件都在网页上看
如果有什么奇怪的邮件
一律。。。。。。。。。。干掉
xuam 2001-08-17
- 打赏
- 举报
我今早就收到一封呀!
tanye 2001-08-17
- 打赏
- 举报
崔冰 cuibing@www1.nwepg.com
我这个邮箱只在csdn上公布过,
倒霉
我这个邮箱只在csdn上公布过,
倒霉
tanye 2001-08-16
- 打赏
- 举报
From wu wu@prodigy.net.mx
To: dwedit@163.com
Message-ID: <GI5DLY00.FYV@mail.ncepu.edu.cn>
如果病毒是从我这里传出去,
我向大家道歉,
如果不是,
情大家不要再给我这样的邮件,
我很害怕,让我过几天安稳的日子,
求求大家了
To: dwedit@163.com
Message-ID: <GI5DLY00.FYV@mail.ncepu.edu.cn>
如果病毒是从我这里传出去,
我向大家道歉,
如果不是,
情大家不要再给我这样的邮件,
我很害怕,让我过几天安稳的日子,
求求大家了
tanye 2001-08-16
- 打赏
- 举报
如果你收到这样的信,那就知道了
hzslx 2001-08-16
- 打赏
- 举报
偶不用OE或foxmail收邮件
呵呵
省得麻烦
也不能排除一些故意捣蛋的鸟
呵呵
省得麻烦
也不能排除一些故意捣蛋的鸟
pbsql 2001-08-16
- 打赏
- 举报
tanye(萧十一郎):你是怎么知道这些邮箱有病毒的?
tanye 2001-08-16
- 打赏
- 举报
Administrator" <Administrator@prodigy.net.mx
tanye 2001-08-16
- 打赏
- 举报
王永强 wyq@chinacomm.com.cn
pinglv 2001-08-15
- 打赏
- 举报
呵呵,我杀掉了。还发现了红色代码II呢。
刚重启过,不会吧,重启还有????
不活了!再杀
刚重启过,不会吧,重启还有????
不活了!再杀
rabbitsfoot 2001-08-15
- 打赏
- 举报
我杀完毒,再重启又有了,怎么办?
pinglv 2001-08-15
- 打赏
- 举报
怎么搞的,我下载的杀毒文件,运行不起来。双击没反应。
急死我了!
market@cnshops.net 有病毒
急死我了!
market@cnshops.net 有病毒
pinglv 2001-08-15
- 打赏
- 举报
天哪,原来是病毒,烦死我了。
我还以为是谁捣乱。
杀!
我还以为是谁捣乱。
杀!
tanye 2001-08-15
- 打赏
- 举报
lws csmy_lws@26.net
liuer 2001-08-11
- 打赏
- 举报
啊呀,我也收到好几封了,也打开看了,可是为什么机器一点反应都没有?这种毒有什么特征和危害?
树木 2001-08-11
- 打赏
- 举报
呵呵,今天竟然也收到了病毒邮件,真是谢谢tanye(萧十一郎)兄发贴了!
net_fox 2001-08-09
- 打赏
- 举报
这种发病毒的人简直是混蛋!!!
tanye 2001-08-09
- 打赏
- 举报
zhanghuhu zhanghuhu@china.com 有病毒
tanye 2001-08-08
- 打赏
- 举报
经历辉 lhjing@utt.com.cn 有病毒
加载更多回复(22)
