20CN网络安全小组第一代论坛: Sircam病毒专题

这是在 20CN网络安全小组第一代论坛 的论坛 黑客基地 中的主题 Sircam病毒专题 。

要查看这个主题，请使用这个 URL:
http://www.20cn.net/cgi-bin/ubb/ultimatebb.cgi?ubb=get_topic;f=2;t=000805

由 japleak (编号: 2531) 发表于 :

Sircam病毒专题

病毒资料:
病毒名称：W32.Sircam.Worm@mm
别名： W32/SirCam@mm, Backdoor.SirCam
蠕虫W32.Sircam.Worm@mm自身包含 SMTP引擎，感染方式有点类似W32.Magistr.Worm。
该蠕虫目前已经被列为危险级病毒。

触发日期：10月16日
病毒行为：
w32.sircam病毒是一种首发于英国的恶性网络蠕虫病毒，对计算机具有较高的危害能力，它主要通过电子邮件附件进行传播，用户一旦打开带有病毒的附件，病毒就会自动发作，并随意选择机器硬盘中的文件向外发送，导致机器内的重要文件对外公开；病毒同时自动删除Ｃ盘中所有文件；病毒还会自动在硬盘中写入垃圾文件，直至吞噬硬盘所有可用空间，导致系统无法工作。
病毒传播：
1）邮件：从两种渠道获取邮件地址：
-----按照注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Shell Folders\Startup\Cache
指定的路径搜索下列文件：sho*., get*., hot*., *.htm并将邮件地址拷贝到
%Windows%\sc??.dll (其中？代表随机的数字或字母)
-----搜索所有驱动器，寻找*.wab文件（ Windows地址簿）并拷贝其中的邮件地址。

2）共享驱动器：搜索所有共享驱动器将蠕虫复制到该驱动器中。并执行：
------将自身拷贝到\recycled\sirc32.exe
------在\autoexec.bat文件中添加一行：
"@win \recycled\sirc32.exe"
------复制文件\Windows\rundll32.exe到\Windows\run32.exe
------用本地文件 c:\recycled\sirc32.exe替换\Windows\rundll32.exe

其他：

1.蠕虫复制自身到 %TEMP%\ 、 C:\recycled\其中包含附件中的文档（doc,xls.zip）。
2.拷贝自身到C:\recycled\sirc32.exe 、 %System%\scam32.exe。
3 添加注册键的值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
值：Driver32=%System%\scam32.exe
创建注册键HKEY_LOCAL_MACHINE\Software\SirCam 其中包含下列值：

FB1B - 保存蠕虫在recycled目录中的文件名。
FB1BA -保存 SMTP的 IP地址。
FB1BB - 保存发送者的邮件地址。
FC0 - 保存蠕虫已经执行的次数。
FC1 - 保存蠕虫的版本。
FD1 - 保存已经执行的蠕虫文件名。

设置注册键HKEY_CLASSES_ROOT\exefile\shell\open\command
为 C:\recycled\sirc32.exe "%1" %*"
作用是当任何一个EXE文件运行时，都会执行蠕虫。

4、按照注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup\Personal
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup\Desktop

指定的路径搜索下列类型的文件 .DOC, .XLS, .ZIP, 和 .EXE，找到匹配的文件后将添加蠕虫，新文件将作为邮件附件被发送。

5、当蠕虫执行8000次后，会停止执行。

解决办法:

1、清空回收站，因为Sircam.sys文件将隐藏在回收站中

2、在DOS模式下打开Autoexec.bat文件，如果有如下字段则删除"@win \recycled\sirc32.exe"

3、更改注册表
将regedit.exe 改名为 regedit.com 因为此种病毒在每运行一次exe文件的同时都会发作一次
进入dos模式，键入"copy regedit.exe regedit.com"。
回到windows模式，进入注册表编辑器，查找主键：
HKEY_CLASSES_ROOT\exefile\shell\open\command
删除其原有键值，并将其键值改为 "%1" %*
查找主键 HKEY_LOCAL_MACHINE\Software\SirCam 并将其删除
查找主键 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
在其右侧的面板中，如果有 Driver32. 则坚决删除
4、请到金山毒霸网站下载查毒杀毒的工具Duba_Sircam,也称CleanSircam与KillSircam

8 下载Duba_Sircam也称 CleanSircam与KillSircam(毒霸Sircam专杀工具)