SirCam 网络蠕虫病毒

|特点|危害|解决方案|杀毒工具|

该病毒通过邮件系统传播,病毒体附带一个随机的文件作为附件,附件的名称带有双扩展名,邮件的主体和附件名称都是不定的。该病毒同时也通过网络共享进行传播。 我们在这里提醒广大用户,谨慎接收电子邮件,尤其是带有附件的,不要轻易打开其附件。一旦被病毒感染,使用杀毒软件的软盘引导系统对病毒进行查杀。

病毒名称:Sircam
别名:W32.Sircam,W32/Sircam,I-Worm.Sircam,I-Worm/Sircam,W32/SirCam@mm

病毒特点:

该病毒为一通过邮件系统传播的网络蠕虫。病毒的主体长度为137216字节,但当它作为邮件的附件时,因为将问档附加到病毒体上,所以长度要大一些。

带有病毒的邮件可能是英文或西班牙文的,邮件的格式如下:

主题:[ 无扩展名的文件名(随机)]

附件:[ 与主体相同,但多了双扩展名,例如:xxx.doc.lnk,xxx.zip.lnk]
主体:(英文)
Hi! How are you?
I send you this file in order to have your advice
or I hope you can help me with this file that I send
or I hope you like the file that I sendo you
or This is the file with the information that you ask for
See you later. Thanks

一旦打开邮件的附件,该文档会被拷贝到C:\RECYCLED目录下,接着病毒会复制自身到C:\RECYCLED下,名为SirC32.exe,并创建以下键值:
HKCR\exefile\shell\open\command\Default="C:\recycled\SirC32.exe" "%1" %*
该键值使得所有exe文件运行时都加载该病毒。病毒还将自身复制到Windows System目录下,名为Scam32.exe,并修改注册表:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

Driver32=C:\WINDOWS\SYSTEM\SCam32.exe

使得每次系统启动后,自动执行该蛀虫的主体部分。注册表修改成功后,病毒利用自己特殊的SMTP给WINDOWS地址簿中的用户和INTERNET缓存中能找到的所有邮箱地址发送带有病毒附件的邮件。
病毒从“我的文档”中,选择一个DOC、XLS或ZIP文件,将被选中的文件附在病毒文件后,再加上第二个扩展名(PIF、LNK、BAT、EXE、COM中的一个),并保存到“回收站”文件夹中,该文件将被病毒用来向选中的EMAIL地址发送。病毒还创建以下键值:HKLM\Software\Sircam,用于存放相关的一些信息,如蠕虫被执行的次数,发送者的邮件地址,SMTP信息。该病毒也通过网络共享感染其它系统,一旦发现可读写的网络邻居,就会将该系统Windows目录下的rundll32.exe用病毒的拷贝来替代,来文件被改名为run32.exe。之后,批处理文件也被改动,增加了:@win\recycled\sirc32.exe以便每次系统启动时,蠕虫被运行。

危害:
除了通过邮件系统传播,该病毒在10月16日删除系统盘的文件。还会在系统的回收站中反复写入文件,直到硬盘无剩余空间。

解决方案:
江民公司、金山公司、瑞星公司等厂商的杀毒产品的最新版本可以查杀。使用Norton 的最新发布的病毒代码也可以清除此病毒,使用时注意扫描的文件类型包括PIF、LNK、BAT、EXE、COM,如果没有应当加入设置清单.

杀毒工具:

为了大家使用方便,我们在这里列出了一些专门的杀毒工具。
Symantec 提供:FixSirc_v1.3.com, 下载到硬盘上,双击执行即可;
CentralCommand 提供:antisircam.exe,下载到硬盘上,选择要扫描的硬盘或文件夹即可。
ComputerAssociates提供:sircam.inf,下载到硬盘上,右击该inf文件,选择安装,该文件将会清除sircam在注册表中修改的键值。在运行完此文件后,计算机将会提示重启机器。
Norman 提供:Sircfix.reg,下载到硬盘上,双击该reg文件,然后重启即可。
Proland 提供:cleansc.com, 下载到硬盘上,双击执行即可.
TrendMirco 提供:fix_sircam.com, 下载到硬盘上,双击执行即可,该程序会自动产生扫描日志。