病毒列表
病毒名稱:Sircam別名:W32.Sircam,W32/Sircam,I-Worm.Sircam,I-Worm/Sircam,W32/SirCam@mm
病毒特點:
該病毒為一通過郵件系統傳播的網路蠕蟲。病毒的主體長度為137216位元組,但當它作為郵件的附屬檔案時,因為將問檔附加到病毒體上,所以長度要大一些。帶有病毒的郵件可能是英文或西班牙文的,郵件的格式如下:
主題:【 無擴展名的檔案名稱(隨機)】
附屬檔案:【 與主體相同,但多了雙擴展名 】
主體:(英文)
Hi! How are you?
I send you this file in order to have your advice
or I hope you can help me with this file that I send
or I hope you like the file that I sendo you
or This is the file with the information that you ask for
See you later. Thanks
主體:(西班牙文)
Hola como estas ?
Te mando este archivo para que me des tu punto de vista
or Espero me puedas ayudar con el archivo que te mando
or Espero te guste este archivo que te mando
or Este es el archivo con la informaci que me pediste
Nos vemos pronto, gracias.
一旦打開郵件的附屬檔案,該文檔會被拷貝到C:\RECYCLED目錄下,接著病毒會複製自身到C:\RECYCLED下,名為SirC32.exe,並創建以下鍵值:
HKCR\exefile\shell\open\command\Default="C:\recycled\SirC32.exe" "%1" %*
該鍵值使得所有exe檔案運行時都載入該病毒。
病毒還將自身複製到Windows System目錄下,名為Scam32.exe,並修改註冊表:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe
使得每次系統啟動後,自動執行該蛀蟲的主體部分。
註冊表修改成功後,病毒利用自己特殊的SMTP給WINDOWS地址簿中的用戶和INTERNET快取中能找到的所有信箱地址傳送帶有病毒附屬檔案的郵件。
病毒從“我的文檔”中,選擇一個DOC、XLS或ZIP檔案,將被選中的檔案附在病毒檔案後,再加上第二個擴展名(PIF、LNK、BAT、EXE、COM中的一個),並保存到“資源回收筒”資料夾中,該檔案將被病毒用來向選中的EMAIL地址傳送。
病毒還創建以下鍵值:HKLM\Software\Sircam,用於存放相關的一些信息,如蠕蟲被執行的次數,傳送者的郵件地址,SMTP信息。
該病毒也通過網路共享感染其它系統,一旦發現可讀寫的網路鄰居,就會將該系統Windows目錄下的rundll32.exe用病毒的拷貝來替代,來檔案被改名為run32.exe。之後,批處理檔案也被改動,增加了:
@win\recycled\sirc32.exe,以便每次系統啟動時,蠕蟲被運行。
除了通過郵件系統傳播,該病毒在10月16日刪除系統盤的檔案。還會在系統的資源回收筒中反覆寫入檔案,直到硬碟無剩餘空間。
