基本介紹
- 中文名:Sircam
- 知識庫編號: RSV0512263
- 內容分類:蠕蟲病毒
- 關鍵字:: Sircam
基本信息,病毒特點,
基本信息
病毒名稱:Sircam
別名:W32.Sircam,W32/Sircam,I-Worm.Sircam,I-Worm/Sircam,W32/SirCam@mm
病毒特點
帶有病毒的郵件可能是英文或西班牙文的,郵件的格式如下:
主題:[ 無擴展名的檔案名稱(隨機)]
附屬檔案:[ 與主體相同,但多了雙擴展名 ]
主體:(英文)
Hi! How are you?
I send you this file in order to have your advice
or I hope you can help me with this file that I send
or I hope you like the file that I sendo you
or This is the file with the information that you ask for
See you later. Thanks
主體:(西班牙文)
Hola como estas ?
Te mando este archivo para que me des tu punto de vista
or Espero me puedas ayudar con el archivo que te mando
or Espero te guste este archivo que te mando
or Este es el archivo con la informaci que me pediste
Nos vemos pronto, gracias.
一旦打開郵件的附屬檔案,該文檔會被拷貝到C:\RECYCLED目錄下,接著病毒會複製自身到C:\RECYCLED下,名為SirC32.exe,並創建以下鍵值:
HKCR\exefile\shell\open\command\Default="C:\recycled\SirC32.exe" "%1" %*
該鍵值使得所有exe檔案運行時都載入該病毒。
病毒還將自身複製到Windows System目錄下,名為Scam32.exe,並修改註冊表:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe
使得每次系統啟動後,自動執行該蛀蟲的主體部分。
註冊表修改成功後,病毒利用自己特殊的SMTP給WINDOWS地址簿中的用戶和INTERNET快取中能找到的所有信箱地址傳送帶有病毒附屬檔案的郵件。
病毒還創建以下鍵值:HKLM\Software\Sircam,用於存放相關的一些信息,如蠕蟲被執行的次數,傳送者的郵件地址,SMTP信息。
該病毒也通過網路共享感染其它系統,一旦發現可讀寫的網路鄰居,就會將該系統Windows目錄下的rundll32.exe用病毒的拷貝來替代,來檔案被改名為run32.exe。之後,批處理檔案也被改動,增加了:
@win\recycled\sirc32.exe,以便每次系統啟動時,蠕蟲被運行。
適用作業系統:Windows 作業系統
適用作業系統補丁版本:全部補丁適用
“W32.Sircam.Worm”病毒是一種首發於英國的惡性網路蠕蟲病毒,具有較高的危害程度,主要通過電子郵件附屬檔案進行傳播。在電子郵件中該病毒表現為:正文是一段首尾兩句不變的英文或西班牙文字,郵件的附屬檔案和主題一樣,並在後面加上了雙擴展名,其擴展名稱可能是:
"PIF"、"LNK"、"BAT"、"EXE"或"COM" 五種中的任意一種。
觸發日期:10月16日
病毒的破壞
用戶一旦打開附屬檔案,該網路蠕蟲病毒將達到以下破壞目的:
1.隨意選擇機器硬碟內的檔案作為附屬檔案,向外傳送,導致機器內重要檔案對外公開;
2.病毒發作時自動刪除C糟所有檔案;
3.每一次啟動時自動在硬碟中寫入垃圾檔案,直至吞噬硬碟所有可用空間,導致系統無法工作。
蠕蟲W32.Sircam.Worm@mm自身包含 SMTP引擎,感染方式有點類似W32.Magistr.Worm。
該蠕蟲目前已經被列為危險級病毒。
病毒行為
蠕蟲將染毒機器中產生的隨機文檔隱藏到自身代碼中;
蠕蟲將刪除C糟上的所有檔案及資料夾,僅當系統日期格式為 D/M/Y(日/月/年);
每次啟動時蠕蟲通過向c:\recycled\sircam.sys檔案中添加文本使硬碟上的空餘空間被充滿,
文本中包含下面的字元串:
[SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
或
[SirCam Version 1.0 Copyright ¬ 2000 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico];
病毒傳播
1)郵件:從兩種渠道獲取郵件地址:
-----按照註冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Shell Folders\Startup\Cache
指定的路徑搜尋下列檔案:sho*., get*., hot*., *.htm並將郵件地址拷貝到
%Windows%\sc??.dll (其中?代表隨機的數字或字母)
-----搜尋所有驅動器,尋找*.wab檔案( Windows地址簿)並拷貝其中的郵件地址。
郵件內容:
主題:隨機,但與附屬檔案的檔案名稱相同。
訊息主體:第一行和最後一行不變,其他部分隨機。
英文:
First line: Hi! How are you?
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send you
This is the file with the information that you ask for
Last line: See you later. Thanks
西班牙文:
First line: Hola como estas ?
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste
Last line: Nos vemos pronto, gracias.
附屬檔案:
SirC32.exe
Tech Specs and Financials.doc.com
2)共享驅動器:搜尋所有共享驅動器將蠕蟲複製到該驅動器中。並執行:
------將自身拷貝到\recycled\sirc32.exe
------在\autoexec.bat檔案中添加一行:
"@win \recycled\sirc32.exe"
------複製檔案\Windows\rundll32.exe到\Windows\run32.exe
------用本地檔案 c:\recycled\sirc32.exe替換\Windows\rundll32.exe
其他:
1.蠕蟲複製自身到 %TEMP%\ 、 C:\recycled\其中包含附屬檔案中的文檔(doc,xls.zip)。
2.拷貝自身到C:\recycled\sirc32.exe 、 %System%\scam32.exe。
3 添加註冊鍵的值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
值:Driver32=%System%\scam32.exe
創建註冊鍵HKEY_LOCAL_MACHINE\Software\SirCam 其中包含下列值:
FB1B - 保存蠕蟲在recycled目錄中的檔案名稱。
FB1BA -保存 SMTP的 IP位址。
FB1BB - 保存傳送者的郵件地址。
FC0 - 保存蠕蟲已經執行的次數。
FC1 - 保存蠕蟲的版本。
FD1 - 保存已經執行的蠕蟲檔案名稱。
設定註冊鍵HKEY_CLASSES_ROOT\exefile\shell\open\command
為 C:\recycled\sirc32.exe "%1" %*"
作用是當任何一個EXE檔案運行時,都會執行蠕蟲。
4、按照註冊表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup\Personal
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup\Desktop
指定的路徑搜尋下列類型的檔案 .DOC, .XLS, .ZIP, 和 .EXE,找到匹配的檔案後將添加蠕蟲,新檔案將作為郵件附屬檔案被傳送。
5、當蠕蟲執行8000次後,會停止執行。
解決方案
方案一:瑞星防毒軟體12.33以上版本可以徹底查殺此病毒。
方案二:手工解決方案
1、清空資源回收筒,因為Sircam.sys檔案將隱藏在資源回收筒中
2、在DOS模式下打開Autoexec.bat檔案,如果有如下欄位則刪除"@win \recycled\sirc32.exe"
3、更改註冊表
將regedit.exe 改名為 regedit.com 因為此種病毒在每運行一次exe檔案的同時都會發作一次
進入dos模式,鍵入"copy regedit.exe regedit.com"。
回到windows模式,進入註冊表編輯器,查找主鍵:
HKEY_CLASSES_ROOT\exefile\shell\open\command
刪除其原有鍵值,並將其鍵值改為 "%1" %*
查找主鍵 HKEY_LOCAL_MACHINE\Software\SirCam 並將其刪除
查找主鍵 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
在其右側的面板中,如果有 Driver32. 則堅決刪除。
相關連結