2001年9月病毒观察

virusview.net

这个月的病毒观察，我们可以称他为蠕虫病毒专题。
首先是被称为“CAM先生”的I-Worm.Sircam。由于它可以在传播的时候随机附带用户硬盘的文件，所以在用户群中造成了一定的恐慌。著名的HOTMAIL也为Sircam专门升级了安全系统。

Sircam 在发作的时候会随机的选用不同方法对被感染的机器进行破坏，例如生成垃圾文件塞满硬盘、删除硬盘所有文件。它的传播渠道是通过WINDOWS的通讯薄中的EMAIL地址群发被感染的文件和感染本地网络驱动器。这个蠕虫病毒的危险程度被病毒观察评为4级。

在我们分析这个病毒后，我们发现Sircam用来传播的EMAIL 第一行或标题通常都会是“Hi! How are you?”（英语）或 “Hola como estas ?”（西班牙语）正文最后一行“See you later. Thanks”（英语）或 “Nos vemos pronto, gracias.”（西班牙语）；而且都会附件一个带有一个复后缀名的附件，如：filename.ext1.ext2 ：EXT1：就是Sircam选中作为传播载体的文件后缀名。EXT2，则是可执行的后缀名“.PIF .LNK .BAT .COM”中的一个，用来被用户运行被文件所载的蠕虫病毒。所以大家如果发现收到了一封符合上述条件的邮件那么多半可能是Sircam在传播，请立即删除此邮件。

如果您已经被Sircam感染了。可以用下列方法手动删除：

　　1、清空回收站，因为Sircam.sys文件将隐藏在回收站中
　　2、在DOS模式下打开Autoexec.bat文件，如果有如下字段则删除"@win ecycledsirc32.exe"
　　3、更改注册表
　　3.1将regedit.exe改名为regedit.com因为此种病毒在每运行一次exe文件的同时都会发作一次。
　　3.2进入dos模式，键入"copy regedit.exe regedit.com"。
　　3.3回到windows模式，进入注册表编辑器，查找主键：
HKEY_CLASSES_ROOT/exefile/shell/open/command
删除其原有键值，并将其键值改为"%1" %*
　　3.4查找主键HKEY_LOCAL_MACHINE/Software/SirCam并将其删除
　　3.5查找主键HKEY_LOCAL_MACHINE/Software/Microsoft/Windows Current Version/Run Services
在其右侧的面板中，如果有Driver32.则坚决删除
也可以在下列地址下在Sircam清除软件：
http://www.virusview.net/download/sptools/other/clrav.com

祸不单行，正在Sircam 大泛滥的时候，一个名字叫做Red Code（IIS-Worm.body）的蠕虫病毒又迅速泛滥在互联网的各个角落里。由于它是通过一个名为"Unchecked Buffer in Index Server ISAPI Extension" 的漏洞，使模块"idq.dll" 产生溢出来达到感染的目的。这是Microsoft IIS系统中最近才被发现的一个漏洞。被感染的多数是暴露在互联网的WEB服务器，一时间无数开放了IIS服务的主器遭到感染，连国外某些政府网站都被迫关闭以躲避Red Code的侵袭。所以Red Code 的势头马上盖过了风光一时的Sircam，成为大众的新焦点。因为被Red Code 感染后的WEB服务器的首页面，会被改为“Welcome to http://www.worm.com ! Hacked By Chinese!” 所以国外很多穿媒纷纷猜测，这个病毒是中国人写的。（Red Code：危险系数4级）

在Red Code 后不久，Red Code 2 又迅速流行在互联网上。这是一个蠕虫病毒和特洛伊木马程序的复合品。虽然命名上很接近，可是事实上Red Code 2和Red Code是完全不同的两回事。唯一相同的就是它们都用同一个漏洞来传播，所以在后面介绍的预防方法对两者都是适用的。在国内和亚太地区大规模泛滥的则多数是Red Code 2。

Red Code 2相比Red Code的危害更大、感染速度更迅速，病毒观察评定其危险系数为5级（非常危险）。因为它不是简单的修改主页，而是通过同样的IIS漏洞实现对一个木马文件的上载和运行，在中了Red Code 2后系统的安全性将降为0。因为它在系统的C驱动器和D驱动器的根目录上传了一个特洛伊木马文件Explorer.exe （Trojan.Win32.VirtualRoot） 它的主要作用就是将系统的的c:\，d:\变成iis的虚拟目录。同时将cmd.exe 以root.exe的名字复制到IIS目录中的msadc 和scripts 目录下，更名为root.exe,成为了一个可怕的后门。（cmd.exe是黑客攻击NT时梦寐以求的东西，好比UNIX SHELL）。所以如果发现发现这些文件的存在，那么系统则多半中了Red Code 2。

你可以用下列方式手动预防和清除：

1、在管理工具IIS管理器/Internet 信息服务机器名上右键属性/WWW服务/主目录/应用程序设置/配置（按钮）
中把应用程序映射的.ida和.idq 删除。
2、把%windowsdir%\system32中的idq.dll备份后删除。
3、终止c:\explorer.exe或d:\explorer.exe 的进程，之后删除这两个文件和IIS目录中的msadc 和scripts目录下的root.exe。
4、在注册表中：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots
删掉/C和/D 这两个键值。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
删掉SFCDisable这个键值。

这样RED CODE和RED CODE 2已经完全被你从系统中清除了。而且也达到了免疫的目的。

当然也可以下载微软的官方补丁（http://www.microsoft.com/technet/security/bulletin/MS01-033.asp）
和病毒观察独家提供的查杀工具（http://127.0.0.1/download/sptools/other/killrc2.exe）检测清除。

最后值得一提的是RED CODE作为病毒，它已经完全脱离了文件这一传统病毒载体，它的传播程序全部都是驻留在系统内存中的。从一台机器再通过互联网感染到另一台机器的内存中……只要一台机器的内存中有病毒它就回不停的传播下去，直到所有的机器都打上补丁。看来我们可以说，互联网的出现和普及使病毒获得全新的传播渠道。

本栏目由www.virusview.net病毒观察站和计算机应用文摘杂志合办