複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/W32.Sircam.Worm@mm/3449254
複製
複製成功

W32.Sircam.Worm@mm

鎖定
W32.Sircam.Worm@mm是 2001 年 7 月 17 日發現的蠕蟲病毒(於 2007 年 2 月 13 日 11:37:14 AM更新),感染操作系統為Windows 95, Windows 98, Windows Me。感染長度: Varies。該病毒通過郵件傳播
外文名
W32.Sircam.Worm@mm
發現時間
2001 年 7 月 17 日
類    型
蠕蟲病毒
感染長度
Varies

目錄

  1. 1 別名
  2. 2 感染過程
  3. 創建自己的副本
  4. 複製
  5. 添加註冊表
  6. 創建註冊表鍵
  1. 設置註冊表鍵默認值
  2. 感染共享系統
  3. 3 感染成功率
  4. 4 防護措施
  5. 殺除工具
  6. 配置 Windows
  1. 5 威脅與損害
  2. 威脅評估
  3. 損害
  4. 6 擴散與傳播
  5. 通過電子郵件傳播
  6. 參數
  1. 7 用户建議
  2. 8 策略
  3. 手動殺毒
  4. 編輯註冊表
  5. 具體操作

W32.Sircam.Worm@mm別名

W32/SirCam@mm [McAfee], Backdoor.SirCam, I-Worm.Sircam.a [AVP], WORM_SIRCAM.A [Trend], W32/Sircam-A [Sophos], W32/Sircam [Panda], Win32.Sircam.137216 [CA], W32/Sircam.worm@mm [F-Secure], Win32.HLLW.SirCam [DrWeb]

W32.Sircam.Worm@mm感染過程

運行時,該蠕蟲執行下列操作:

W32.Sircam.Worm@mm創建自己的副本

創建自己的副本 %TEMP%\<文件名> 和 C:\Recycled\<文件名>,其中包含附加的文檔。該文檔通過註冊為用於處理該特定文件類型的程序運行。例如,如果保存成擴展名為 .doc 的文件,則用 Microsoft Word 或 Wordpad 運行。擴展名為 .xls 的文件在 Excel 中打開,擴展名為 .zip 的文件則在默認的 zip 程序(如 WinZip)中打開。
注意:%TEMP% 是 Temp 變量,意味着蠕蟲將自己保存到 Windows Temp 文件夾,而不考慮該文件夾的位置。默認位置是 C:\Windows\Temp。

W32.Sircam.Worm@mm複製

將自己複製到 C:\Recycled\Sirc32.exe 和 %System%\Scam32.exe。
注意:%System% 也是一個變量。蠕蟲將定位 \System 文件夾(默認位置是 C:\Windows\System),再將自己複製到此位置。

W32.Sircam.Worm@mm添加註冊表

它會將值
Driver32=%System%\scam32.exe
添加到下列註冊表鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\RunServices

W32.Sircam.Worm@mm創建註冊表鍵

創建下列註冊表鍵:
HKEY_LOCAL_MACHINE\Software\SirCam
使用下列值:
* FB1B - 存儲蠕蟲的文件名,該文件名與 Recycled 目錄中存儲的文件名相同。
* FB1BA - 存儲 SMTP IP 地址。
* FB1BB - 存儲發件人的電子郵件地址
* FC0 - 存儲蠕蟲已執行的次數。
* FC1 - 存儲蠕蟲的版本號。
* FD1 - 存儲蠕蟲已執行過的文件名(不包含後綴)。
* FD3 - 存儲蠕蟲當前狀態所對應的值。
* FD7 - 存儲在該進程中斷之前已發送的郵件數量。

W32.Sircam.Worm@mm設置註冊表鍵默認值

註冊表鍵的(默認)值
HKEY_CLASSES_ROOT\exefile\shell\open\command
設置為
C:\recycled\sirc32.exe "%1" %*“
這使蠕蟲能夠在有 .exe 文件運行時進行自我執行。

W32.Sircam.Worm@mm感染共享系統

蠕蟲具有網絡意識,它將列舉所有網絡資源,以感染共享系統。一旦發現共享系統,蠕蟲將執行下列操作:
* 試圖將自己複製到 <計算機>\Recycled\Sirc32.exe
* 將“@win \recycled\sirc32.exe”行添加到文件 <計算機>\Autoexec.bat
* 將 <計算機>\Windows\Rundll32.exe 複製到 <計算機>\Windows\Run32.exe
* 用 C:\Recycled\Sirc32.exe 替換 <計算機>\Windows\rundll32.exe

W32.Sircam.Worm@mm感染成功率

發生下列操作的機率為 1/33
* 蠕蟲將自己從 C:\Recycled\Sirc32.exe 複製到 %Windows%\Scmx32.exe
* 蠕蟲將自己以“Microsoft Internet Office.exe”的形式複製到下列註冊表鍵所指向的文件夾中:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Shell Folders\Startup
發生下列操作的幾率為 1/20
在每年的 10 月 16 日,蠕蟲遞歸刪除 C 驅動器上的所有文件和文件夾。
這種有效負載功能只在日期格式為日/月/年(與月/日/年或類似格式不同)的計算機上才起作用。
此外,如果蠕蟲的附件中包含序列“FA2”,而後面沒有緊跟字母 sc,則有效負載總會立刻激活,而不考慮日期及日期格式。
注意:由於隨機數字生成器的初始化中存在 bug,因此該威脅的文件刪除和空間填充有效負載幾乎不可能總是能激活。
如果此有效負載激活,將創建 C:\Recycled\Sircam.sys 文件並在其中添加文本,直到沒有剩餘硬盤空間。
所添加的文本是下面兩個字符串中的一個:
* [SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
* [SirCam Version 1.0 Copyright ¬ 2000 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]
蠕蟲包含自己的 SMTP 引擎,並將其用於電子郵件例程。它可以通過以下兩種不同的方式獲得電子郵件地址
* 在下列註冊表鍵
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
所制向的文件夾中搜索 sho*.、get*.、hot*.、*.htm 文件,並將其中的電子郵件地址複製到 %system%\sc?1.dll 文件
其中,? 是表示每個位置的不同字母,如下所示:
o scy1.dll:來自 %cache%\sho*.、hot*.、get* 中的地址。
o sch1.dll:來自 %personal%\sho*.、hot*.、get* 中的地址。
o sci1.dll:來自 %cache%\*.htm 中的地址。
o sct1.dll:來自 %personal%\*.htm 中的地址。
* 蠕蟲在 %system% 與所有子文件夾中搜索 *.wab(所有 Windows 通訊薄),然後將其中的地址複製到 %system%\scw1.dll 中。
在下列註冊表鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop
所指向的文件夾中搜索 .doc、.xls 和 .zip 文件類型,並將文件名存儲在 %system%\scd.dll 中。這些文件中的一個將附加到蠕蟲的原始可執行文件的後面,而構成的新文件將作為電子郵件附件發送。
發件人的電子郵件地址與郵件服務器取自注冊表。如果不存在電子郵件帳户,將在當前用户名之後附加 ,例如,如果當前用户使用 Jsmith 登錄,則地址為 .mx。然後蠕蟲將試圖與郵件服務器連接。該郵件服務器或者來自注冊表或者為下面所列舉出的一個:
+
郵件所用的語言取決於發件人使用的語言。如果發件人使用西班牙語,那麼郵件也使用西班牙語,否則便使用英語。附件可以從 scd.dll 的文件列表中任意選取。

W32.Sircam.Worm@mm防護措施

W32.Sircam.Worm@mm殺除工具

由於提交率的降低,Symantec 安全響應中心自 2002 年 7 月 23 日起將該威脅的級別從 4 類降為 3 類。
W32.Sircam.Worm@mm 包含它自己的 SMTP 引擎,其傳播方式與 W32.Magistr.Worm 類似。
W32.Sircam.Worm@mm 在 Windows NT、2000 或 XP 下不進行復制,這似乎是一個 bug。
Symantec 安全響應中心已創建了殺除該蠕蟲的工具。
警告:在某些情況下,如果 NAV 隔離或刪除了受感染的文件,您將無法運行 .exe 文件,但是仍可以運行殺毒工具。

W32.Sircam.Worm@mm配置 Windows

由於此病毒是通過網絡計算機上的共享文件夾進行傳播的,因此,為確保該病毒被殺除後不會再次感染計算機,Symantec 建議用只讀訪問或密碼保護進行文件共享。有關如何完成此操作的指導,請參閲 Windows 文檔或文檔:如何配置共享 Windows 文件夾以儘可能地保護網絡。
防護
* 病毒定義(每週 LiveUpdate™) 2001 年 7 月 17 日
* 病毒定義(智能更新程序) 2001 年 7 月 17 日

W32.Sircam.Worm@mm威脅與損害

W32.Sircam.Worm@mm威脅評估

廣度
* 廣度級別: Low
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分佈: Medium
* 威脅抑制: Moderate
* 清除: Moderate
* 損壞級別: Medium

W32.Sircam.Worm@mm損害

* 有效負載觸發器: (1)October 16th, or some attached file contents, triggers file deletion payload. (2)If the file deletion occured, or after 8000 executions, triggers the space filler payload..
* 有效負載: NOTE: Due to a bug in the initialization of a random number generator, it is highly unlikely that the file deleting, and space filling payloads of this threat will ever be activated
* 大規模發送電子郵件: The worm appends a random document from the infected PC to itself and sends this new file via email
* 刪除文件: 1 in 20 chance of deleting all files and directories on C:. Only occurs on systems where the date is October 16 and which are using D/M/Y as the date format. Always occurs if attached file contains "FA2" not followed by "sc".
* 泄露機密信息: It will export a random document from the hard drive by appending it to the body of the worm
* 降低性能: 1 in 50 chance of filling all remaining space on the C: drive by adding text to the file c:\recycled\sircam.sys

W32.Sircam.Worm@mm擴散與傳播

W32.Sircam.Worm@mm通過電子郵件傳播

此蠕蟲以電子郵件附件的形式傳入,並且郵件包含下列內容:
主題:電子郵件的主題是隨機性的,且與電子郵件附件的文件名相同。
附件:附件是來自發件人計算機,且擴展名為 .bat、.com、.lnk 或 .pif 的文件。
消息:郵件的正文是半隨機性的,但是其開頭和結尾總包含下列兩行中的一行(英文或西班牙文)。
西班牙文版本:
首行:Hola como estas ?
末行: Nos vemos pronto, gracias.
英文版本:
首行: Hi!How are you?
末行: See you later.Thanks
在這兩句之間,可能出現下列文本中的某些內容:
西班牙文版本:
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informaci=n que me pediste
英文版本:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for

W32.Sircam.Worm@mm參數

* 分發級別: High
* 電子郵件的主題: Random subject - the filename of the attachment
* 附件名稱: A file from the sender's computer with the extension .bat, .com, .lnk, or .pif added to it.
* 附件大小: at least 134kb long
* 共享驅動器: searchs for shared drives and copies itself to those it find

W32.Sircam.Worm@mm用户建議

賽門鐵克安全響應中心建議所有用户和管理員遵循以下基本安全“最佳實踐”:
禁用並刪除不需要的服務
默認情況下,許多操作系統會安裝不必要的輔助服務,如 FTP 服務器、telnet 和 Web 服務器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程序更新即可完成。
* 如果混合型威脅攻擊了一個或多個網絡服務,則在應用補丁程序之前,請禁用或禁止訪問這些服務。
始終安裝最新的補丁程序
尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公佈的安全更新,也要及時應用。
強制執行密碼策略
複雜的密碼使得受感染計算機上的密碼文件難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件服務器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附件的郵件,這些文件常用於傳播病毒。
迅速隔離受感染的計算機防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
教育員工不要打開意外收到的附件
並且只在進行病毒掃描後才執行從互聯網下載的軟件。如果未對某些瀏覽器漏洞應用補丁程序,那麼訪問受感染的網站也會造成病毒感染。
Symantec 安全響應中心已創建了殺除該蠕蟲的工具。
殺毒工具
在某些情況下,如果 NAV 隔離或刪除了受感染的文件,您將無法運行 .exe 文件,但是仍可以運行殺毒工具。
* 如果使用的是 Windows Me,並在運行工具時在 _Restore 文件夾中檢測到蠕蟲的一個副本,則因其受 Windows 保護,該工具無法將其從文件夾中刪除。請參閲文檔:無法修復、隔離或刪除在 _RESTORE 文件夾中找到的病毒,然後再次運行該工具。.
嘗試殺除此蠕蟲之前,必須斷開網絡連接
* 如果您在網絡上或一直保持與 Internet 的連接,請斷開計算機與網絡或 Internet 的連接。在計算機與網絡或 Internet 重新連接之前,請禁用或用密碼保護文件共享。因為此蠕蟲是通過網絡計算機上的共享文件夾進行傳播的,為確保此蠕蟲被殺除後不會再次感染計算機, Symantec 建議用只讀訪問或密碼保護進行文件共享。有關如何完成此操作的指導,請參閲 Windows 文檔或文檔:如何配置共享 Windows 文件夾儘可能的保護網絡。
* 如果計算機多次受到感染(在網絡上使用共享文件夾時可能發生),受蠕蟲感染的 Run32dll.exe 副本將覆蓋 Run32.exe 文件。執行“編輯 Autoexec.bat 文件”部分的操作時,如果看到不只一項“@win \recycled\sirc32.exe”,請不要試圖重命名文件,而應刪除 Run32.exe 和 Run32dll.exe 文件,然後從一個乾淨的備份文件或 Windows 安裝光盤中提取新的 Run32dll.exe 副本。有關如何進行此項操作的信息,請參閲 Windows 文檔。

W32.Sircam.Worm@mm策略

W32.Sircam.Worm@mm手動殺毒

如果由於某些原因而無法獲得或使用 W32.Sircam.Worm@mm 殺毒工具,就必須手動殺除該蠕蟲。要完成此操作,必須:
* 撤消蠕蟲對註冊表鍵 HKEY_CLASSES_ROOT\exefile\shell\open\command 所做的更改
* 刪除所有檢測到 W32.Sircam.Worm@mm 的文件。
* 使用 Windows 資源管理器從 Windows 回收站中刪除 Sircam.sys(如果存在)。
* 刪除此蠕蟲在 Autoexec.bat 文件中創建的項(如果有)。(只有當蠕蟲在網絡中傳播時才會有。)
* 如果有文件 \Windows\Run32.exe,將其重命名為 \Windows\Rundll32.exe
有關詳細指導,請參閲下列各部分。
注意:如果您在網絡上或一直保持與 Internet 的連接,請斷開計算機與網絡或 Internet 的連接。在所有計算機(包括服務器)上執行上述過程。在計算機與網絡或 Internet 重新連接之前,請禁用或用密碼保護文件共享。

W32.Sircam.Worm@mm編輯註冊表

蠕蟲會修改註冊表,因此每次運行 .exe 文件時,就會執行一個受感染文件。請按照下列指導對此進行修復。
將 Regedit.exe 複製為 :
由於蠕蟲修改了註冊表,使您無法運行 .exe 文件,因此必須首先生成註冊表編輯器程序文件的副本,並將其擴展名改成 .com,然後再運行該文件。

W32.Sircam.Worm@mm具體操作

1. 根據您運行的操作系統,執行下面相應的操作:
* Windows 95/98 用户:單擊“開始”,指向“程序”,然後單擊“MS-DOS 方式”。這將打開 DOS 窗口,提示符為 C:\WINDOWS\。轉至此部分的步驟 2。
* Windows Me 用户:單擊“開始”,指向“程序”,再指向“附件”,然後單擊“MS-DOS 方式”。這將打開 DOS 窗口,提示符為 C:\WINDOWS\。轉至此部分的步驟 2。
* Windows NT/2000 用户:
1. 單擊“開始”,然後單擊“運行”。
2. 鍵入下列命令,然後按 Enter 鍵:
command
DOS 窗口打開。
3. 鍵入下列命令,然後按 Enter 鍵:
cd \winnt
4. 轉至此部分的步驟 2。
* Windows XP:
1. 單擊“開始”,然後單擊“運行”。
2. 鍵入下列命令,然後按 Enter 鍵:
command
DOS 窗口打開。
3. 鍵入下列命令,每鍵入完一行即按 Enter 鍵:
cd\
cd \windows
4. 繼續執行此部分的步驟 2。
2. 鍵入下列命令,然後按 Enter 鍵:
copy regedit.exe 3. 鍵入下列命令,然後按 Enter 鍵:
start
註冊表編輯器將在 DOS 窗口打開。編輯完註冊表之後,請退出註冊表編輯器,然後退出 DOS 窗口。
4. 只有在完成上述步驟之後,才可繼續進行下一部分“編輯註冊表並刪除由蠕蟲創建的鍵及所做的其他更改”。
注意:此操作將在 DOS 窗口打開註冊表編輯器。請在完成註冊表編輯並關閉註冊表編輯器後,關閉 DOS 窗口。
編輯註冊表並刪除由蠕蟲創建的鍵及所做的其他更改:
警告:強烈建議您在對系統註冊表進行任何更改之前先將其備份。錯誤地更改註冊表可能導致數據永久丟失或文件損壞。請確保只修改了此文檔中指定的鍵。有關如何備份註冊表的詳細信息,請參閲文檔:如何備份 Windows 註冊表,然後繼續進行操作。如果擔心無法正確執行下列操作,則不要執行。
1. 導航至下列鍵並將其選定:
HKEY_CLASSES_ROOT\exefile\shell\open\command
警告:HKEY_CLASSES_ROOT 鍵中包含許多指代其他文件擴展名的子鍵。其中之一是 .exe。更改此擴展名可阻止擴展名為 .exe 的文件運行。請確保是沿着此路徑瀏覽到 \command 子鍵。
請不要修改 HKEY_CLASSES_ROOT\.exe 鍵。
請修改 HKEY_CLASSES_ROOT\exefile\shell\open\command 子鍵
<<=== 注意:這是需要修改的鍵。to modify.
2. 雙擊右窗格中的(默認)值。
3. 刪除當前數值數據,然後鍵入 "%1" %*(即鍵入下列字符:引號、百分號、1、引號、空格、百分號、星號)。
注意:在 Win9x 和 WinNT 系統上,註冊表編輯器自動在值的兩側加上引號。當單擊“確定”時,(默認)值的確切顯示為:""%1" %*"。在 Win2k 系統上,不會出現附加的引號。在 Win2k 系統中,(默認)值的確切顯示為:"%1" %*
4. 確保在鍵入正確的數據前,完全刪除了命令鍵中的所有數值數據。如果在此項的開頭不小心留下了一個空格,則試圖運行程序文件時,將導致如下錯誤消息,“Windows 找不到 .exe”或“無法確定 C:\ <路徑與文件名> 的位置”。
5. 導航至下列鍵並將其選定:
HKEY_LOCAL_MACHINE\Software\SirCam
警告:請確保是沿着指定路徑瀏覽到 SirCam 鍵,並確保選定此鍵。
6. 選定 SirCam 鍵,按 Delete 鍵,然後單擊“是”確認。此操作將刪除 SirCam 鍵及其所有子鍵。因為此鍵是蠕蟲創建的,所以可以安全地將其刪除。
7. 導航至下列鍵並將其選定:
HKEY_LOCAL_MACHINE\Software\
Microsoft\Windows\CurrentVersion\RunServices
8. 在右窗格中,查找並選擇值
Driver32.
9. 按 Delete 鍵,然後單擊“是”確認。
刪除蠕蟲:
1. 運行 LiveUpdate,確保您的病毒定義是最新的。
2. 啓動 Norton AntiVirus (NAV),然後運行完整的系統掃描,確保 NAV 設置為掃描所有文件。
3. 刪除所有檢測到 W32.Sircam.Worm@mm 的文件。
警告:Windows Me 用户。如果使用的是 Windows Me,並在 _Restore 文件夾中檢測到蠕蟲的一個副本,則因其受 Windows 保護,NAV 無法將其從文件夾中刪除。請參閲文檔:無法修復、隔離或刪除在 _RESTORE 文件夾中找到的病毒。
清空回收站:
由於文件在這種情況下的存放方式,您不能像以正常方式刪除文件那樣只是單擊“清空回收站”,而要用 Windows 資源管理器刪除文件 C:\Recycled\Sircam.sys(如果有)。
編輯 Autoexec.bat 文件:
1. 單擊“開始”,然後單擊“運行”。
2. 鍵入以下內容,然後單擊“確定”:
edit c:\autoexec.bat
MS-DOS 編輯器打開。
3. 刪除 “@win \recycled\sirc32.exe”一行(如果有)。
警告:如果 Autoexec.bat 文件中出現了多次“@win \recycled\sirc32.exe”,意味着計算機不只被感染過一次。因此,受蠕蟲感染的 Run32dll.exe 副本將覆蓋 Run32.exe。這樣,您將無法按照下一部分的指導通過重命名文件來進行修復。
4. 單擊“文件”,然後單擊“保存”。
5. 退出 MS-DOS 編輯器
重命名 Run32.exe 文件:
如果此文件存在,應將其重命名為原來的名稱。
警告:如果計算機多次受到感染(這會在使用網絡共享文件夾時發生),則 Rundll32.exe 的一個受感染副本將覆蓋 Run32.exe 文件。如果在執行上一部分介紹的步驟時看到多個“@win \recycled\sirc32.exe”項,請不要嘗試重命名該文件,而應刪除 Run32.exe 和 Run32dll.exe 文件,然後從一個乾淨的備份文件或 Windows 安裝光盤中提取新的 Run32dll.exe 副本。有關如何進行此項操作的信息,請參閲 Windows 文檔。
1. 單擊“開始”,指向“查找”或“搜索”,然後單擊“文件或文件夾”。
2. 確保“搜索範圍”設置為 (C:) 並選中“包含子文件夾”。
3. 在“名稱”或“搜索…”框中,鍵入(或複製並粘貼)下列文件名:
run32.exe
4. 單擊“開始查找”或“立即搜索”。
5. 用鼠標右鍵單擊 Run32.exe 文件,然後單擊“重命名”。
6. 將該文件重命名為:
rundll32.exe
7. 按 Enter 鍵。