LINKS
 

 

[回首页]

I-worm.SirCam专页

一、病毒基本特性

病毒类型

普通病毒
特洛伊木马
蠕虫
恶作剧程序

病毒传播平台

DOS
WIN9X
WIN NT/2K

病毒来源

■?

 病毒特性
通过EMAIL附件传播
感染.COM文件
感染.EXE文件
感染网络驱动器
感染OFFICE文档
驻留内存
随机发送文件
开机加载



故意破坏
降低系统运行速度

暗中破坏
复杂
多态性
自身加密

危险系数4级

二、病毒命名对照

反病毒产品 命名
AVP I-Worm.Sircam

三、病毒介绍

这是一个危险的蠕虫病毒,它是通过Internet和局域网转播的。这个蠕虫病毒是一个用Delphi写的WINDOWS应用程序大约130K。

从EMAIL 传播

这个蠕虫从一个被感染的机器上把自己和一个.DOC, XLS, ZIP或者其他的文件以一个双重的扩展名的文件附件在邮件里发送出来:

filename.ext1.ext2
"filename.ext1":是附带文件的文件名。
ext2:是随机的选择一个蠕虫的后缀名PIF, LNK, BAT, COM. 
例如: 
feb01.xls.pif
normas.doc.bat

这个蠕虫伪装的EMAIL的主题是那个被选种为附件的文件名。
正文用了两种语言来写,西班牙语和英语。
但是第一行和最后一行都是一样的

第一行: Hi! How are you? Hola como estas ? 
最后一行: See you later. Thanks Nos vemos pronto, gracias.

内容略有不同的是下面这些: 
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for

Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informaci髇 que me pediste

病毒会自动在被感染机器查找 SHO*, GET*, HOT*, *.HTM, *WAB,和一些其他的文件。他会把这些查找的结果假扮为后缀名是.DLL的文件储存在WINDOWS的SYSTEM目录下。

SCD.DLL 符合条件的文件列表
SCH1.DLL, SCI1.DLL 从扫描被感染的机器上文件取得的EMAIL地址
SCW1.DLL 包含着从WINDOWS 通讯簿上得到的EMAIL地址 (WAB)
SCT1.DLL and SCY1.DLL 用来储存一些其他的数据

安装:病毒会把自己以SirC32.exe的文件名COPY到WINDOWS所在硬盘的 \RECYCLED 目录下
例如: 
C:\WINDOWS\
C:\RECYCLED\SirC32.exe
在Windows\system 目录下叫做 SCam32.exe . 
在Windows 目录下叫做 ScMx32.exe . 
在Windows\Start Menu\Programs\启动(start up) 目录下叫做 "Microsoft Internet Office.exe" . 

注意以上的文件并不是在蠕虫第一次运行的时候就被创建了的。有些文件是根据不同的情况才会被创建出来。
而且这些文件的属性全部都是“隐藏”。

病毒会把前两个文件添加到注册表的auto-run里:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Driver32 = %windows sytem directory%\SCam32.exe

HKCR\exefile\shell\open\command
SirC32.exe

当这个蠕虫执行的时候,它会把附件文件提取出来并且储存到WINDOWS的临时文件目录下,之后会根据文件的后缀名来选择WINWORD.EXE 、WORDPAD.EXE、 EXCEL.EXE、 WINZIP.EXE来打开这个文件。

蠕虫也会在注册表里为自己添加一个键值来储存他自己的一些信息
HKLM\SOFTWARE\SirCam. 

从局域网传播:

当这个蠕虫执行的时候,它会把自己复制到这个局域网所有的完全共享的目录下。
如果对方的共享目录里面有"\recycled"那么它会把自己以SirC32.exe的名字复制到 \recycled\SirC32.exe下。

之后在AUTOEXEC.BAT文件的最后一行加上"@win \recycled\SirC32.exe"

如果对方是"\Windows"目录,它会把RUNDLL32.EXE更名为RUN32.DLL,并且用自己覆盖原来的RUNDLL32.DLL。

而且所有被复制的病毒文件都是隐藏属性。

四、现象

首先,病毒将计算出一个随机数字,之后在每次启动时不断向回收站中的一个系统文件(c:\recycled\sircam.sys)添加文本,从而导致硬盘被占满,这样的概率为1/33。 

随后,病毒将检测日期是否为10月16日。如果恰逢该日,而Windows操作系统当前使用的为欧洲日期格式(日/月/年),该病毒将产生一个随机数字,并且删除硬盘上的所有文件,概率为1/20。 

最后,当这个病毒在传播的时候,可能会附件一些.DOC, XLS, ZIP或者其他的文件在这个病毒里,并且传播给其他用户。如果这是一个机密文件,就将导致泄密。 

当执行这个病毒的时候,然后发送感染的信息(通过被激活的副本),感染本地网络驱动器(针对操作属性为完全控制的共享驱动器),并通过判断系统日期来决定所加载的例程。


五、删除步骤:

  1、清空回收站,因为Sircam.sys文件将隐藏在回收站中

  2、在DOS模式下打开Autoexec.bat文件,如果有如下字段则删除"@win ecycledsirc32.exe" 

  3、更改注册表 

  3.1将regedit.exe改名为regedit.com因为此种病毒在每运行一次exe文件的同时都会发作一次。

  3.2进入dos模式,键入"copy regedit.exe regedit.com"。

  3.3回到windows模式,进入注册表编辑器,查找主键:

  HKEY_CLASSES_ROOT/exefile/shell/open/command 

  删除其原有键值,并将其键值改为"%1" %* 

  3.4查找主键HKEY_LOCAL_MACHINE/Software/SirCam并将其删除

  3.5查找主键HKEY_LOCAL_MACHINE/Software/Microsoft/Windows Current Version/Run Services 

  在其右侧的面板中,如果有Driver32.则坚决删除

病毒观察独家提供Sircam清除工具 killsc.com