W32.Sircam.Worm@mm

W32.Sircam.Worm@mm是 2001 年 7 月 17 日發現的蠕蟲病毒(於 2007 年 2 月 13 日 11:37:14 AM更新),感染作業系統為Windows 95, Windows 98, Windows Me。感染長度: Varies。該病毒通過郵件傳播

基本介紹

  • 外文名:W32.Sircam.Worm@mm
  • 發現時間:2001 年 7 月 17 日
  • 類型蠕蟲病毒
  • 感染長度: Varies
別名,感染過程,創建自己的副本,複製,添加註冊表,創建註冊表鍵,設定註冊表鍵默認值,感染共享系統,感染成功率,防護措施,殺除工具,配置 Windows,威脅與損害,威脅評估,損害,擴散與傳播,通過電子郵件傳播,參數,用戶建議,禁用並刪除不需要的服務,始終安裝最新的補丁程式,強制執行密碼策略,教育員工不要打開意外收到的附屬檔案,防毒工具,嘗試殺除此蠕蟲之前,必須斷開網路連線,策略,手動防毒,編輯註冊表,具體操作,

別名

W32/SirCam@mm [McAfee], Backdoor.SirCam, I-Worm.Sircam.a [AVP], WORM_SIRCAM.A [Trend], W32/Sircam-A [Sophos], W32/Sircam [Panda], Win32.Sircam.137216 [CA], W32/Sircam.worm@mm [F-Secure], Win32.HLLW.SirCam [DrWeb]

感染過程

運行時,該蠕蟲執行下列操作:

創建自己的副本

創建自己的副本 %TEMP%\<檔案名稱> 和 C:\Recycled\<檔案名稱>,其中包含附加的文檔。該文檔通過註冊為用於處理該特定檔案類型的程式運行。例如,如果保存成擴展名為 .doc 的檔案,則用 Microsoft Word 或 Wordpad 運行。擴展名為 .xls 的檔案在 Excel 中打開,擴展名為 .zip 的檔案則在默認的 zip 程式(如 WinZip)中打開。
注意:%TEMP% 是 Temp 變數,意味著蠕蟲將自己保存到 Windows Temp 資料夾,而不考慮該資料夾的位置。默認位置是 C:\Windows\Temp。

複製

將自己複製到 C:\Recycled\Sirc32.exe 和 %System%\Scam32.exe。
注意:%System% 也是一個變數。蠕蟲將定位 \System 資料夾(默認位置是 C:\Windows\System),再將自己複製到此位置。

添加註冊表

它會將值
Driver32=%System%\scam32.exe
添加到下列註冊表鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\RunServices

創建註冊表鍵

創建下列註冊表鍵:
HKEY_LOCAL_MACHINE\Software\SirCam
使用下列值:
* FB1B - 存儲蠕蟲的檔案名稱,該檔案名稱與 Recycled 目錄中存儲的檔案名稱相同。
* FB1BA - 存儲 SMTP IP 地址。
* FB1BB - 存儲發件人的電子郵件地址。
* FC0 - 存儲蠕蟲已執行的次數。
* FC1 - 存儲蠕蟲的版本號。
* FD1 - 存儲蠕蟲已執行過的檔案名稱(不包含後綴)。
* FD3 - 存儲蠕蟲當前狀態所對應的值。
* FD7 - 存儲在該進程中斷之前已傳送的郵件數量。

設定註冊表鍵默認值

註冊表鍵的(默認)值
HKEY_CLASSES_ROOT\exefile\shell\open\command
設定為
C:\recycled\sirc32.exe "%1" %*"
這使蠕蟲能夠在有 .exe 檔案運行時進行自我執行。

感染共享系統

蠕蟲具有網路意識,它將列舉所有網路資源,以感染共享系統。一旦發現共享系統,蠕蟲將執行下列操作:
* 試圖將自己複製到 <計算機>\Recycled\Sirc32.exe
* 將“@win \recycled\sirc32.exe”行添加到檔案 <計算機>\Autoexec.bat
* 將 <計算機>\Windows\Rundll32.exe 複製到 <計算機>\Windows\Run32.exe
* 用 C:\Recycled\Sirc32.exe 替換 <計算機>\Windows\rundll32.exe

感染成功率

發生下列操作的機率為 1/33
* 蠕蟲將自己從 C:\Recycled\Sirc32.exe 複製到 %Windows%\Scmx32.exe
* 蠕蟲將自己以“Microsoft Internet Office.exe”的形式複製到下列註冊表鍵所指向的資料夾中:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Shell Folders\Startup
發生下列操作的幾率為 1/20
在每年的 10 月 16 日,蠕蟲遞歸刪除 C 驅動器上的所有檔案和資料夾。
這種有效負載功能只在日期格式為日/月/年(與月/日/年或類似格式不同)的計算機上才起作用。
此外,如果蠕蟲的附屬檔案中包含序列“FA2”,而後面沒有緊跟字母 sc,則有效負載總會立刻激活,而不考慮日期及日期格式。
注意:由於隨機數字生成器的初始化中存在 bug,因此該威脅的檔案刪除和空間填充有效負載幾乎不可能總是能激活。
如果此有效負載激活,將創建 C:\Recycled\Sircam.sys 檔案並在其中添加文本,直到沒有剩餘硬碟空間。
所添加的文本是下面兩個字元串中的一個:
* [SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
* [SirCam Version 1.0 Copyright &not; 2000 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]
蠕蟲包含自己的 SMTP 引擎,並將其用於電子郵件例程。它可以通過以下兩種不同的方式獲得電子郵件地址:
* 在下列註冊表鍵
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
所制向的資料夾中搜尋 sho*.、get*.、hot*.、*.htm 檔案,並將其中的電子郵件地址複製到 %system%\sc?1.dll 檔案
其中,? 是表示每個位置的不同字母,如下所示:
o scy1.dll:來自 %cache%\sho*.、hot*.、get* 中的地址。
o sch1.dll:來自 %personal%\sho*.、hot*.、get* 中的地址。
o sci1.dll:來自 %cache%\*.htm 中的地址。
o sct1.dll:來自 %personal%\*.htm 中的地址。
* 蠕蟲在 %system% 與所有子資料夾中搜尋 *.wab(所有 Windows 通訊薄),然後將其中的地址複製到 %system%\scw1.dll 中。
在下列註冊表鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop
所指向的資料夾中搜尋 .doc、.xls 和 .zip 檔案類型,並將檔案名稱存儲在 %system%\scd.dll 中。這些檔案中的一個將附加到蠕蟲的原始執行檔的後面,而構成的新檔案將作為電子郵件附屬檔案傳送。
發件人的電子郵件地址與郵件伺服器取自註冊表。如果不存在電子郵件帳戶,將在當前用戶名之後附加 ,例如,如果當前用戶使用 Jsmith 登錄,則地址為 .mx。然後蠕蟲將試圖與郵件伺服器連線。該郵件伺服器或者來自註冊表或者為下面所列舉出的一個:
+
郵件所用的語言取決於發件人使用的語言。如果發件人使用西班牙語,那么郵件也使用西班牙語,否則便使用英語。附屬檔案可以從 scd.dll 的檔案列表中任意選取。

防護措施

殺除工具

由於提交率的降低,Symantec 安全回響中心自 2002 年 7 月 23 日起將該威脅的級別從 4 類降為 3 類。
W32.Sircam.Worm@mm 包含它自己的 SMTP 引擎,其傳播方式與 W32.Magistr.Worm 類似。
W32.Sircam.Worm@mm 在 Windows NT、2000 或 XP 下不進行複製,這似乎是一個 bug。
Symantec 安全回響中心已創建了殺除該蠕蟲的工具。
警告:在某些情況下,如果 NAV 隔離或刪除了受感染的檔案,您將無法運行 .exe 檔案,但是仍可以運行防毒工具。

配置 Windows

由於此病毒是通過網路計算機上的已分享檔案夾進行傳播的,因此,為確保該病毒被殺除後不會再次感染計算機,Symantec 建議用唯讀訪問或密碼保護進行檔案共享。有關如何完成此操作的指導,請參閱 Windows 文檔或文檔:如何配置共享 Windows 資料夾以儘可能地保護網路。
防護
* 病毒定義(每周 LiveUpdate™) 2001 年 7 月 17 日
* 病毒定義(智慧型更新程式) 2001 年 7 月 17 日

威脅與損害

威脅評估

廣度
* 廣度級別: Low
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: Medium
* 威脅抑制: Moderate
* 清除: Moderate
* 損壞級別: Medium

損害

* 有效負載觸發器: 1) October 16th, or some attached file contents, triggers file deletion payload. 2) If the file deletion occured, or after 8000 executions, triggers the space filler payload..
* 有效負載: NOTE: Due to a bug in the initialization of a random number generator, it is highly unlikely that the file deleting, and space filling payloads of this threat will ever be activated
* 大規模傳送電子郵件: The worm appends a random document from the infected PC to itself and sends this new file via email
* 刪除檔案: 1 in 20 chance of deleting all files and directories on C:. Only occurs on systems where the date is October 16 and which are using D/M/Y as the date format. Always occurs if attached file contains "FA2" not followed by "sc".
* 泄露機密信息: It will export a random document from the hard drive by appending it to the body of the worm
* 降低性能: 1 in 50 chance of filling all remaining space on the C: drive by adding text to the file c:\recycled\sircam.sys

擴散與傳播

通過電子郵件傳播

蠕蟲以電子郵件附屬檔案的形式傳入,並且郵件包含下列內容:
主題:電子郵件的主題是隨機性的,且與電子郵件附屬檔案的檔案名稱相同。
附屬檔案:附屬檔案是來自發件人計算機,且擴展名為 .bat、.com、.lnk 或 .pif 的檔案。
訊息:郵件的正文是半隨機性的,但是其開頭和結尾總包含下列兩行中的一行(英文或西班牙文)。
西班牙文版本:
首行:Hola como estas ?
末行: Nos vemos pronto, gracias.
英文版本:
首行: Hi!How are you?
末行: See you later.Thanks
在這兩句之間,可能出現下列文本中的某些內容:
西班牙文版本:
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informaci=n que me pediste
英文版本:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for

參數

* 分發級別: High
* 電子郵件的主題: Random subject - the filename of the attachment
* 附屬檔案名稱: A file from the sender's computer with the extension .bat, .com, .lnk, or .pif added to it.
* 附屬檔案大小: at least 134kb long
* 共享驅動器: searchs for shared drives and copies itself to those it find

用戶建議

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:

禁用並刪除不需要的服務

默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。

始終安裝最新的補丁程式

尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。

強制執行密碼策略

複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
迅速隔離受感染的計算機防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。

教育員工不要打開意外收到的附屬檔案

並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
Symantec 安全回響中心已創建了殺除該蠕蟲的工具。

防毒工具

在某些情況下,如果 NAV 隔離或刪除了受感染的檔案,您將無法運行 .exe 檔案,但是仍可以運行防毒工具。
* 如果使用的是 Windows Me,並在運行工具時在 _Restore 資料夾中檢測到蠕蟲的一個副本,則因其受 Windows 保護,該工具無法將其從資料夾中刪除。請參閱文檔:無法修復、隔離或刪除在 _RESTORE 資料夾中找到的病毒,然後再次運行該工具。.

嘗試殺除此蠕蟲之前,必須斷開網路連線

* 如果您在網路上或一直保持與 Internet 的連線,請斷開計算機與網路或 Internet 的連線。在計算機與網路或 Internet 重新連線之前,請禁用或用密碼保護檔案共享。因為此蠕蟲是通過網路計算機上的已分享檔案夾進行傳播的,為確保此蠕蟲被殺除後不會再次感染計算機, Symantec 建議用唯讀訪問或密碼保護進行檔案共享。有關如何完成此操作的指導,請參閱 Windows 文檔或文檔:如何配置共享 Windows 資料夾儘可能的保護網路。
* 如果計算機多次受到感染(在網路上使用已分享檔案夾時可能發生),受蠕蟲感染的 Run32dll.exe 副本將覆蓋 Run32.exe 檔案。執行“編輯 Autoexec.bat 檔案”部分的操作時,如果看到不只一項“@win \recycled\sirc32.exe”,請不要試圖重命名檔案,而應刪除 Run32.exe 和 Run32dll.exe 檔案,然後從一個乾淨的備份檔案或 Windows 安裝光碟中提取新的 Run32dll.exe 副本。有關如何進行此項操作的信息,請參閱 Windows 文檔。

策略

手動防毒

如果由於某些原因而無法獲得或使用 W32.Sircam.Worm@mm 防毒工具,就必須手動殺除該蠕蟲。要完成此操作,必須:
* 撤消蠕蟲對註冊表鍵 HKEY_CLASSES_ROOT\exefile\shell\open\command 所做的更改
* 刪除所有檢測到 W32.Sircam.Worm@mm 的檔案。
* 使用 Windows 資源管理器從 Windows 資源回收筒中刪除 Sircam.sys(如果存在)。
* 刪除此蠕蟲在 Autoexec.bat 檔案中創建的項(如果有)。(只有當蠕蟲在網路中傳播時才會有。)
* 如果有檔案 \Windows\Run32.exe,將其重命名為 \Windows\Rundll32.exe
有關詳細指導,請參閱下列各部分。
注意:如果您在網路上或一直保持與 Internet 的連線,請斷開計算機與網路或 Internet 的連線。在所有計算機(包括伺服器)上執行上述過程。在計算機與網路或 Internet 重新連線之前,請禁用或用密碼保護檔案共享。

編輯註冊表

蠕蟲會修改註冊表,因此每次運行 .exe 檔案時,就會執行一個受感染檔案。請按照下列指導對此進行修復。
將 Regedit.exe 複製為 :
由於蠕蟲修改了註冊表,使您無法運行 .exe 檔案,因此必須首先生成註冊表編輯器程式檔案的副本,並將其擴展名改成 .com,然後再運行該檔案。

具體操作

1. 根據您運行的作業系統,執行下面相應的操作:
* Windows 95/98 用戶:單擊“開始”,指向“程式”,然後單擊“MS-DOS 方式”。這將打開 DOS 視窗,提示符為 C:\WINDOWS\。轉至此部分的步驟 2。
* Windows Me 用戶:單擊“開始”,指向“程式”,再指向“附屬檔案”,然後單擊“MS-DOS 方式”。這將打開 DOS 視窗,提示符為 C:\WINDOWS\。轉至此部分的步驟 2。
* Windows NT/2000 用戶:
1. 單擊“開始”,然後單擊“運行”。
2. 鍵入下列命令,然後按 Enter 鍵:
command
DOS 視窗打開。
3. 鍵入下列命令,然後按 Enter 鍵:
cd \winnt
4. 轉至此部分的步驟 2。
* Windows XP:
1. 單擊“開始”,然後單擊“運行”。
2. 鍵入下列命令,然後按 Enter 鍵:
command
DOS 視窗打開。
3. 鍵入下列命令,每鍵入完一行即按 Enter 鍵:
cd\
cd \windows
4. 繼續執行此部分的步驟 2。
2. 鍵入下列命令,然後按 Enter 鍵:
copy regedit.exe 3. 鍵入下列命令,然後按 Enter 鍵:
start
註冊表編輯器將在 DOS 視窗打開。編輯完註冊表之後,請退出註冊表編輯器,然後退出 DOS 視窗。
4. 只有在完成上述步驟之後,才可繼續進行下一部分“編輯註冊表並刪除由蠕蟲創建的鍵及所做的其他更改”。
注意:此操作將在 DOS 視窗打開註冊表編輯器。請在完成註冊表編輯並關閉註冊表編輯器後,關閉 DOS 視窗。
編輯註冊表並刪除由蠕蟲創建的鍵及所做的其他更改:
警告:強烈建議您在對系統註冊表進行任何更改之前先將其備份。錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。請確保只修改了此文檔中指定的鍵。有關如何備份註冊表的詳細信息,請參閱文檔:如何備份 Windows 註冊表,然後繼續進行操作。如果擔心無法正確執行下列操作,則不要執行。
1. 導航至下列鍵並將其選定:
HKEY_CLASSES_ROOT\exefile\shell\open\command
警告:HKEY_CLASSES_ROOT 鍵中包含許多指代其他檔案擴展名的子鍵。其中之一是 .exe。更改此擴展名可阻止擴展名為 .exe 的檔案運行。請確保是沿著此路徑瀏覽到 \command 子鍵。
請不要修改 HKEY_CLASSES_ROOT\.exe 鍵。
請修改下圖中顯示的 HKEY_CLASSES_ROOT\exefile\shell\open\command 子鍵
<<=== 注意:這是需要修改的鍵。to modify.
2. 雙擊右窗格中的(默認)值。
3. 刪除當前數值數據,然後鍵入 "%1" %*(即鍵入下列字元:引號、百分號、1、引號、空格、百分號、星號)。
注意:在 Win9x 和 WinNT 系統上,註冊表編輯器自動在值的兩側加上引號。當單擊“確定”時,(默認)值的確切顯示為:""%1" %*"。在 Win2k 系統上,不會出現附加的引號。在 Win2k 系統中,(默認)值的確切顯示為:"%1" %*
4. 確保在鍵入正確的數據前,完全刪除了命令鍵中的所有數值數據。如果在此項的開頭不小心留下了一個空格,則試圖運行程式檔案時,將導致如下錯誤訊息,“Windows 找不到 .exe”或“無法確定 C:\ <路徑與檔案名稱> 的位置”。
5. 導航至下列鍵並將其選定:
HKEY_LOCAL_MACHINE\Software\SirCam
警告:請確保是沿著指定路徑瀏覽到 SirCam 鍵,並確保選定此鍵。該鍵如下圖所示:
6. 選定 SirCam 鍵,按 Delete 鍵,然後單擊“是”確認。此操作將刪除 SirCam 鍵及其所有子鍵。因為此鍵是蠕蟲創建的,所以可以安全地將其刪除。
7. 導航至下列鍵並將其選定:
HKEY_LOCAL_MACHINE\Software\
Microsoft\Windows\CurrentVersion\RunServices
8. 在右窗格中,查找並選擇值
Driver32.
9. 按 Delete 鍵,然後單擊“是”確認。
刪除蠕蟲
1. 運行 LiveUpdate,確保您的病毒定義是最新的。
2. 啟動 Norton AntiVirus (NAV),然後運行完整的系統掃描,確保 NAV 設定為掃描所有檔案。
3. 刪除所有檢測到 W32.Sircam.Worm@mm 的檔案。
警告:Windows Me 用戶。如果使用的是 Windows Me,並在 _Restore 資料夾中檢測到蠕蟲的一個副本,則因其受 Windows 保護,NAV 無法將其從資料夾中刪除。請參閱文檔:無法修復、隔離或刪除在 _RESTORE 資料夾中找到的病毒。
清空資源回收筒:
由於檔案在這種情況下的存放方式,您不能像以正常方式刪除檔案那樣只是單擊“清空資源回收筒”,而要用 Windows 資源管理器刪除檔案 C:\Recycled\Sircam.sys(如果有)。
編輯 Autoexec.bat 檔案:
1. 單擊“開始”,然後單擊“運行”。
2. 鍵入以下內容,然後單擊“確定”:
edit c:\autoexec.bat
MS-DOS 編輯器打開。
3. 刪除 “@win \recycled\sirc32.exe”一行(如果有)。
警告:如果 Autoexec.bat 檔案中出現了多次“@win \recycled\sirc32.exe”,意味著計算機不只被感染過一次。因此,受蠕蟲感染的 Run32dll.exe 副本將覆蓋 Run32.exe。這樣,您將無法按照下一部分的指導通過重命名檔案來進行修復。
4. 單擊“檔案”,然後單擊“保存”。
5. 退出 MS-DOS 編輯器。
重命名 Run32.exe 檔案:
如果此檔案存在,應將其重命名為原來的名稱。
警告:如果計算機多次受到感染(這會在使用網路已分享檔案夾時發生),則 Rundll32.exe 的一個受感染副本將覆蓋 Run32.exe 檔案。如果在執行上一部分介紹的步驟時看到多個“@win \recycled\sirc32.exe”項,請不要嘗試重命名該檔案,而應刪除 Run32.exe 和 Run32dll.exe 檔案,然後從一個乾淨的備份檔案或 Windows 安裝光碟中提取新的 Run32dll.exe 副本。有關如何進行此項操作的信息,請參閱 Windows 文檔。
1. 單擊“開始”,指向“查找”或“搜尋”,然後單擊“檔案或資料夾”。
2. 確保“搜尋範圍”設定為 (C:) 並選中“包含子資料夾”。
3. 在“名稱”或“搜尋…”框中,鍵入(或複製並貼上)下列檔案名稱:
run32.exe
4. 單擊“開始查找”或“立即搜尋”。
5. 用滑鼠右鍵單擊 Run32.exe 檔案,然後單擊“重命名”。
6. 將該檔案重命名為:
rundll32.exe
7. 按 Enter 鍵。

相關詞條

熱門詞條

聯絡我們