惡性網絡蠕虫I-WORM/Sircam病毒肆虐國內
|
|
|
人民網北京7月23日訊 一種首發于英國的惡性網絡蠕虫I-WORM/Sircam病毒已經在國內開始肆虐,國家反病毒應急處理中心成員單位、北京江民公司兩天內接到告急用戶近百個。江民公司著名反病毒專家王江民告誡廣大上網用戶,一旦染上該病毒,將導致大量文件被刪除,他提醒廣大用戶盡快升級最新版反病毒軟件KV3000,并開啟KVW3000病毒實時監測防火牆,可有效防范該病毒的侵犯。
據介紹,I-WORM/Sircam病毒的特點如下:
病毒的主體長度是:137216字節,其Email附件長度有的大于此長度。
I-WORM/Sircam是一個通過EMAIL來傳播的INTERNET網絡蠕虫程序,其Email的名字是隨機變化的。它傳播自身的同時也要傳送用戶的文檔,在一定程度上可造成泄密﹔信件的主題:隨機的,和郵件附件的文件名稱一致,顯然附件的文件名稱是隨機獲得的﹔信件的主體:(如果你收到類似的信件的話,請注意)。
Hi! How are you? (嗨,您好!)
I send you this file in order to have your advice。
(我將此文件發送給您,想聽聽您的意見)
See you later。Thanks 。(再見!謝謝)
注:該網絡蠕虫本來想從以下的几種中選擇中間的那句話的:
(1)I send you this file in order to have your advice
我將該文件發送給您,想聽聽您的意見。
(2)I hope you can help me with this file that I send。
我想請你幫幫我發送的文件。
(3)I hope you like the file that I send to you。
希望您喜歡我給您發送的文件
(4)This is the file with the information that you ask for。
這是您要的信息文件。
但是實際上只能是第一種選擇。
信件的附件:和主題一樣,只不過加上了雙擴展名。
實際上該網絡蠕虫的擴展名稱可能是:"PIF", "LNK", "BAT", "EXE" 或"COM" 五種中的任意一種﹔
病毒的特性:當用戶打開附件時,該網絡蠕虫程序對系統的注冊表增加兩項:
(1)HKEY_CLASSES_ROOT\exefile\shell\open\command\Default ,將其數值修改為:
c:\Recycled\SirC32.exe "%1"" %*" ﹔
顯然文件SirC32.exe被拷貝到目錄c:\Recycled下,使得所有的EXE文件的執行都必須有文件SirC32.exe(網絡蠕虫)文件的支持。
在這一點上和"美麗公園"病毒相似,只不過那時的名稱是:files32.vxd。
(2)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices\Driver32 ,使其數值為c:\windows\system\SCam32.exe。
這個注冊表項目的修改,使得系統每次啟動后,都能自動執行該網絡蠕虫程序的主體部分,該部分在WINDOWS的SYSTEM目錄下SCam32.exe。
當注冊表修改成功后,該網絡蠕虫程序利用自己的特殊的SMTP(發送郵件協議)來給WINDOWS的地址薄里和用戶的臨時的INTERNET文件夾的所有人(也就是CACHE目錄下)發送該網絡蠕虫程序本身。
該網絡蠕虫程序從"我的文檔"的文件夾中,找到DOC、XLS、ZIP等文件名稱,然后在這些文件的后面依附上自身,并將結果保存在系統的回收站中,同時給這些文件又加上如上說的5種擴展名稱,使得網絡蠕虫在傳播時就變成了雙擴展名稱了。和某些可以在網絡鄰居上進行傳播的病毒一樣(比如常見的FUNLOVE4099病毒),如果該病毒發現存在可以讀寫的網絡鄰居的話,它就會將自身拷貝到WINDOWS的目錄下,并且將文件的名稱修改成為rundll32.exe ,而WINDOWS下的原來的文件名稱被修改成run32.exe ,同時也存在該目錄下。
如果修改成功的話,系統的自動批處理文件autoexec.bat也會被修改,使得每次系統啟動,該網絡蠕虫程序都會被執行。
該網絡蠕虫程序中,保存著以下的加密字符串:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright 2001 2rP Made in / Hecho en - Cuitzeo,Michoacan Mexico]
該網絡蠕虫的破壞作用:
如果受感染的機器上的日期的格式是:日/月/年的話,那么在每年的10月16日該網絡蠕虫程序會將C盤上的所有文件以及目錄刪除﹔在該網絡蠕虫程序發現自身不完全時,該網絡蠕虫程序就會將WINDOWS安裝目錄所在的驅動器上的文件和所有的子目錄完全刪除﹔同時還會在系統的回收站中寫入文件:SirCam.sys.一直到硬盤的剩余空間為零。
針對該病毒,目前江民公司已列出完整的清除方案。具體清除步驟如下:
1.使用干淨DOS軟盤啟動機器﹔
2.執行KVD3000.EXE或KV3000.EXE, 查殺所有硬盤,查到部分有毒文件時會先問你要刪除嗎□ 請按"Y"鍵刪除病毒體﹔
3. 刪除所有報告為I-WORM/SIRCAM.A的網絡蠕虫程序,注意必須將系統的"回收站"同時清空﹔
4. 修改上述注冊表項﹔
必須修改系統的注冊表:修改系統注冊表的命令是REGEDIT.EXE,可以從系統的運行命令中執行﹔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices刪除其中的名稱為Driver32的鍵值,該鍵值的值是:Scam32.exe (前面還有WINDOWS的安裝目錄)﹔
HKEY_CLASSES_ROOT\exefile\shell\open\command\(default)
HKEY_LOCAL_MACHINE \Software\Classes\exefile\shell\open\command\(default)
這兩者必須修改成為系統的原來的數值:"%1""%*"
而該病毒增加的數值:
HKEY_LOCAL_MACHINE\Software\SirCam 必須整個刪除﹔
一般在該項目下面會含有以下的數值:
FB1B/FB1BA/FB1BB/FC0/FC1/FD1。
其中的FB1BA存放的是SMTP的IP地址﹔
FB1BB存放的是發送者的EMAIL地址﹔
FC0是該網絡蠕虫程序被執行的次數﹔
5. 現在您可以重新啟動計算機﹔
6. 進入DOS模式:
一般的是:c:\windows>;執行如下的命令:
cd\Recycled
c:\Recycled>attrib -r sirc32.exe
c:\Recycled>del sirc32.exe
c:\Recycled>cd ..
c:\>cd windows
c:\windows>attrib -r scam32.exe
c:\windows>del scam32.exe
7. 對于網絡鄰居的計算機的感染,可以在受感染的計算機上的文件\windows\run32.exe必須改名為rundll32.exe﹔
同時刪除系統的autoexec.bat文件中的增加的項目:
刪除@win \Recycled\SirC32.exe ﹔
并將在系統回收站中的文件SirC32.exe刪除。
|
|
人民網 2001年7月23日
|
|
|
