论坛风格切换
正版合作和侵权请联系 sd173@foxmail.com
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 2157阅读
  • 0回复

[已解决]如何彻底清除Sircam病毒 [复制链接]

上一主题 下一主题
离线gsl27
 

发帖
4831
今日发帖
最后登录
2023-11-18
只看楼主 倒序阅读 使用道具 楼主  发表于: 2008-06-20 16:42:52
如何彻底清除Sircam病毒

一种在全球50多个国家通过电子邮件快速传播的恶性网络蠕虫W32.Sircam病毒在国内大面积爆发。我国著名反病毒企业北京瑞星公司率先捕获并将其彻底查杀。瑞星公司告诫广大计算机用户:请尽快将瑞星杀毒软件升级到12.33以上版本,并开启实时监控,可避免受到该病毒的侵袭。
据瑞星公司反病毒专家介绍,“W32.Sircam.Worm”病毒是一种首发于英国的恶性网络蠕虫病毒,具有较高的危害程度,主要通过电子邮件附件进行传播。在电子邮件中该病毒表现为:正文是一段首尾两句不变的英文或西班牙文字,其中英文邮件的首尾两句为:“Hi! How are you?”、“See you later. Thanks”,西班牙文则为:“Hola como estas?”、“Last line: Nos vemos pronto, gracias.”。邮件的附件和主题一样,并在后面加上了双扩展名,其扩展名称可能是:"PIF", "LNK", "BAT", "EXE" 或"COM" 五种中的任意一种。
用户一旦打开附件,该网络蠕虫病毒将达到以下破坏目的:
1.随意选择机器硬盘内的文件作为附件,向外发送,导致机器内重要文件对外公开;
2.病毒发作时自动删除C盘所有文件;
3.每一次启动时自动在硬盘中写入垃圾文件,直至吞噬硬盘所有可用空间,导致系统无法工作。
瑞星敬告所有电脑用户,如果没有使用瑞星杀毒软件,应将具有以上特征的可疑邮件及时删除,以保护电脑中宝贵信息。

病毒资料及解决办法:
病毒名称:W32.Sircam.Worm@mm
别名: W32/SirCam@mm, Backdoor.SirCam
蠕虫W32.Sircam.Worm@mm自身包含 SMTP引擎,感染方式有点类似W32.Magistr.Worm。
该蠕虫目前已经被列为危险级病毒。

病毒行为:
蠕虫将染毒机器中产生的随机文档隐藏到自身代码中;
蠕虫将删除C盘上的所有文件及文件夹,仅当系统日期格式为 D/M/Y(日/月/年);
每次启动时蠕虫通过向c:\recycled\sircam.sys文件中添加文本使硬盘上的空余空间被充满,
文本中包含下面的字符串:
[SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

[SirCam Version 1.0 Copyright ¬ 2000 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico];

病毒的传播形式:
1.蠕虫复制自身到 %TEMP%\ 、 C:\recycled\其中包含附件中的文档(doc,xls.zip)。
2.拷贝自身到C:\recycled\sirc32.exe 、 %System%\scam32.exe。
3 添加注册键的值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
值:Driver32=%System%\scam32.exe
创建注册键HKEY_LOCAL_MACHINE\Software\SirCam 其中包含下列值:FB1B - 保存蠕虫在recycled目录中的文件名。
FB1BA -保存 SMTP的 IP地址。
FB1BB - 保存发送者的邮件地址。
FC0 - 保存蠕虫已经执行的次数。
FC1 - 保存蠕虫的版本。
FD1 - 保存已经执行的蠕虫文件名。
设置注册键HKEY_CLASSES_ROOT\exefile\shell\open\command
为 C:\recycled\sirc32.exe "%1" %*"
作用是当任何一个EXE文件运行时,都会执行蠕虫。
4、按照注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup\Personal
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup\Desktop
指定的路径搜索下列类型的文件 .DOC, .XLS, .ZIP, 和 .EXE,找到匹配的文件后将添加蠕虫,新文件将作为邮件附件被发送。
5、当蠕虫执行8000次后,会停止执行。


手工解决办法:
1、清空回收站,因为Sircam.sys文件将隐藏在回收站中
2、在DOS模式下打开Autoexec.bat文件,如果有如下字段则删除"@win \recycled\sirc32.exe"
3、更改注册表
将regedit.exe 改名为 regedit.com 因为此种病毒在每运行一次exe文件的同时都会发作一次
进入dos模式,键入"copy regedit.exe regedit.com"。
回到windows模式,进入注册表编辑器,查找主键:
HKEY_CLASSES_ROOT\exefile\shell\open\command
删除其原有键值,并将其键值改为 "%1" %*
查找主键 HKEY_LOCAL_MACHINE\Software\SirCam 并将其删除
查找主键 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
在其右侧的面板中,如果有 Driver32. 则坚决删除