Sircam

帶有病毒的郵件可能是英文或西班牙文的，郵件的格式如下：

主題：[ 無擴展名的文件名（隨機）]

附件：[ 與主體相同，但多了雙擴展名 ]

主體：（英文）

Hi! How are you?

I send you this file in order to have your advice

or I hope you can help me with this file that I send

or I hope you like the file that I sendo you

or This is the file with the information that you ask for

See you later. Thanks

主體：（西班牙文）

Hola como estas ?

Te mando este archivo para que me des tu punto de vista

or Espero me puedas ayudar con el archivo que te mando

or Espero te guste este archivo que te mando

or Este es el archivo con la informaci que me pediste

Nos vemos pronto, gracias.

一旦打開郵件的附件，該文檔會被拷貝到C:\RECYCLED目錄下，接着病毒會複製自身到C:\RECYCLED下，名為SirC32.exe，並創建以下鍵值：

HKCR\exefile\shell\open\command\Default="C:\recycled\SirC32.exe" "%1" %*

該鍵值使得所有exe文件運行時都加載該病毒。

病毒還將自身複製到Windows System目錄下，名為Scam32.exe，並修改註冊表：

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe

使得每次系統啓動後，自動執行該蛀蟲的主體部分。

註冊表修改成功後，病毒利用自己特殊的SMTP給WINDOWS地址簿中的用户和INTERNET緩存中能找到的所有郵箱地址發送帶有病毒附件的郵件。

病毒從“我的文檔”中，選擇一個DOC、XLS或ZIP文件，將被選中的文件附在病毒文件後，再加上第二個擴展名（PIF、LNK、BAT、EXE、COM中的一個），並保存到“回收站”文件夾中，該文件將被病毒用來向選中的EMAIL地址發送。

病毒還創建以下鍵值：HKLM\Software\Sircam，用於存放相關的一些信息，如蠕蟲被執行的次數，發送者的郵件地址，SMTP信息。

該病毒也通過網絡共享感染其它系統，一旦發現可讀寫的網絡鄰居，就會將該系統Windows目錄下的rundll32.exe用病毒的拷貝來替代，來文件被改名為run32.exe。之後，批處理文件也被改動，增加了：

@win\recycled\sirc32.exe，以便每次系統啓動時，蠕蟲被運行。

除了通過郵件系統傳播，該病毒在10月16日刪除系統盤的文件。還會在系統的回收站中反覆寫入文件，直到硬盤無剩餘空間。

適用操作系統：Windows 操作系統

適用操作系統補丁版本：全部補丁適用

2001年一種在全球50多個國家通過電子郵件快速傳播的惡性網絡蠕蟲W32.Sircam病毒在國內大面積爆發。瑞星殺毒軟件升級到12.33以上版本，並開啓實時監控，可避免受到該病毒的侵襲。

“W32.Sircam.Worm”病毒是一種首發於英國的惡性網絡蠕蟲病毒，具有較高的危害程度，主要通過電子郵件附件進行傳播。在電子郵件中該病毒表現為：正文是一段首尾兩句不變的英文或西班牙文字，郵件的附件和主題一樣，並在後面加上了雙擴展名，其擴展名稱可能是：

"PIF"、"LNK"、"BAT"、"EXE"或"COM" 五種中的任意一種。

觸發日期：10月16日

病毒的破壞

用户一旦打開附件，該網絡蠕蟲病毒將達到以下破壞目的：

1.隨意選擇機器硬盤內的文件作為附件，向外發送，導致機器內重要文件對外公開；

2.病毒發作時自動刪除C盤所有文件；

3.每一次啓動時自動在硬盤中寫入垃圾文件，直至吞噬硬盤所有可用空間，導致系統無法工作。

蠕蟲W32.Sircam.Worm@mm自身包含 SMTP引擎，感染方式有點類似W32.Magistr.Worm。

該蠕蟲目前已經被列為危險級病毒。

病毒行為

蠕蟲將染毒機器中產生的隨機文檔隱藏到自身代碼中；

蠕蟲將刪除C盤上的所有文件及文件夾，僅當系統日期格式為 D/M/Y（日/月/年）；

每次啓動時蠕蟲通過向c:\recycled\sircam.sys文件中添加文本使硬盤上的空餘空間被充滿，

文本中包含下面的字符串：

[SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

或

[SirCam Version 1.0 Copyright ￢ 2000 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]；

病毒傳播

1）郵件：從兩種渠道獲取郵件地址：

-----按照註冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Explorer\Shell Folders\Startup\Cache

指定的路徑搜索下列文件：sho*., get*., hot*., *.htm並將郵件地址拷貝到

%Windows%\sc??.dll (其中？代表隨機的數字或字母)

-----搜索所有驅動器，尋找*.wab文件（ Windows地址簿）並拷貝其中的郵件地址。

郵件內容：

主題：隨機，但與附件的文件名相同。

消息主體：第一行和最後一行不變，其他部分隨機。

英文：

First line: Hi! How are you?

I send you this file in order to have your advice

I hope you can help me with this file that I send

I hope you like the file that I send you

This is the file with the information that you ask for

Last line: See you later. Thanks

西班牙文：

First line: Hola como estas ?

Te mando este archivo para que me des tu punto de vista

Espero me puedas ayudar con el archivo que te mando

Espero te guste este archivo que te mando

Este es el archivo con la informacion que me pediste

Last line: Nos vemos pronto, gracias.

附件：

SirC32.exe

Tech Specs and Financials.doc.com

2）共享驅動器：搜索所有共享驅動器將蠕蟲複製到該驅動器中。並執行：

------將自身拷貝到\recycled\sirc32.exe

------在\autoexec.bat文件中添加一行：

"@win \recycled\sirc32.exe"

------複製文件\Windows\rundll32.exe到\Windows\run32.exe

------用本地文件 c:\recycled\sirc32.exe替換\Windows\rundll32.exe

其他：

1.蠕蟲複製自身到 %TEMP%\ 、 C:\recycled\其中包含附件中的文檔（doc,xls.zip）。

2.拷貝自身到C:\recycled\sirc32.exe 、 %System%\scam32.exe。

3 添加註冊鍵的值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

值：Driver32=%System%\scam32.exe

創建註冊鍵HKEY_LOCAL_MACHINE\Software\SirCam 其中包含下列值：

FB1B - 保存蠕蟲在recycled目錄中的文件名。

FB1BA -保存 SMTP的 IP地址。

FB1BB - 保存發送者的郵件地址。

FC0 - 保存蠕蟲已經執行的次數。

FC1 - 保存蠕蟲的版本。

FD1 - 保存已經執行的蠕蟲文件名。

設置註冊鍵HKEY_CLASSES_ROOT\exefile\shell\open\command

為 C:\recycled\sirc32.exe "%1" %*"

作用是當任何一個EXE文件運行時，都會執行蠕蟲。

4、按照註冊表

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup\Personal

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup\Desktop

指定的路徑搜索下列類型的文件 .DOC, .XLS, .ZIP, 和 .EXE，找到匹配的文件後將添加蠕蟲，新文件將作為郵件附件被髮送。

5、當蠕蟲執行8000次後，會停止執行。

解決方案

方案一：瑞星殺毒軟件12.33以上版本可以徹底查殺此病毒。

方案二：手工解決方案

1、清空回收站，因為Sircam.sys文件將隱藏在回收站中

2、在DOS模式下打開Autoexec.bat文件，如果有如下字段則刪除"@win \recycled\sirc32.exe"

3、更改註冊表

將regedit.exe 改名為 regedit.com 因為此種病毒在每運行一次exe文件的同時都會發作一次

進入dos模式，鍵入"copy regedit.exe regedit.com"。

回到windows模式，進入註冊表編輯器，查找主鍵：

HKEY_CLASSES_ROOT\exefile\shell\open\command

刪除其原有鍵值，並將其鍵值改為 "%1" %*

查找主鍵 HKEY_LOCAL_MACHINE\Software\SirCam 並將其刪除

查找主鍵 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

在其右側的面板中，如果有 Driver32. 則堅決刪除。

相關鏈接

Sircam病毒的修復工具：Sircam病毒會修改系統註冊表，可造成機器中的可執行文件無法執行，運行此程序即可解決，下載地址http://it.rising.com.cn/service/technology/Sircam_download.htm。