Sircam病毒

wwwrisingcomcn2001-10-15 16:46:00 信息源:瑞星公司

蠕蟲W32.Sircam.Worm@mm自身包含 SMTP引擎，感染方式有點類似W32.Magistr.Worm。

該蠕蟲目前已經被列為危險級病毒。

蠕蟲將染毒機器中產生的隨機文檔隱藏到自身代碼中；

蠕蟲將刪除C糟上的所有檔案及資料夾，僅當系統日期格式為 D/M/Y（日/月/年）；

每次啟動時蠕蟲通過向c:\recycled\sircam.sys檔案中添加文本使硬碟上的空餘空間被充滿，

文本中包含下面的字元串：

[SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

或

[SirCam Version 1.0 Copyright ￢ 2000 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]；

1）郵件：從兩種渠道獲取郵件地址：

-----按照註冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Explorer\Shell Folders\Startup\Cache

指定的路徑搜尋下列檔案：sho*., get*., hot*., *.htm並將郵件地址拷貝到

%Windows%\sc??.dll (其中？代表隨機的數字或字母)

-----搜尋所有驅動器，尋找*.wab檔案（ Windows地址簿）並拷貝其中的郵件地址。

郵件內容：

主題：隨機，但與附屬檔案的檔案名稱相同。

訊息主體：第一行和最後一行不變，其他部分隨機。

英文：

First line: Hi! How are you?

I send you this file in order to have your advice

I hope you can help me with this file that I send

I hope you like the file that I send you

This is the file with the information that you ask for

Last line: See you later. Thanks

西班牙文：

First line: Hola como estas ?

Te mando este archivo para que me des tu punto de vista

Espero me puedas ayudar con el archivo que te mando

Espero te guste este archivo que te mando

Este es el archivo con la informacion que me pediste

Last line: Nos vemos pronto, gracias.

附屬檔案：

SirC32.exe

Tech Specs and Financialsdoccom

2）共享驅動器：搜尋所有共享驅動器將蠕蟲複製到該驅動器中。並執行：

------將自身拷貝到\recycled\sirc32.exe

------在\autoexec.bat檔案中添加一行：

"@win \recycled\sirc32.exe"

------複製檔案\Windows\rundll32.exe到\Windows\run32.exe

------用本地檔案 c:\recycled\sirc32.exe替換\Windows\rundll32.exe

1.蠕蟲複製自身到 %TEMP%\ 、 C:\recycled\其中包含附屬檔案中的文檔（doc,xls.zip）。

2.拷貝自身到C:\recycled\sirc32.exe 、 %System%\scam32.exe。

3 添加註冊鍵的值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

值：Driver32=%System%\scam32.exe

創建註冊鍵HKEY_LOCAL_MACHINE\Software\SirCam 其中包含下列值：

FB1B - 保存蠕蟲在recycled目錄中的檔案名稱。

FB1BA -保存 SMTP的IP地址。

FB1BB - 保存傳送者的郵件地址。

FC0 - 保存蠕蟲已經執行的次數。

FC1 - 保存蠕蟲的版本。

FD1 - 保存已經執行的蠕蟲檔案名稱。

設定註冊鍵HKEY_CLASSES_ROOT\exefile\shell\open\command

為 C:\recycled\sirc32.exe "%1" %*"

作用是當任何一個EXE檔案運行時，都會執行蠕蟲。

4、按照註冊表

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup\Personal

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup\Desktop

指定的路徑搜尋下列類型的檔案 .DOC, .XLS, .ZIP, 和 .EXE，找到匹配的檔案後將添加蠕蟲，新檔案將作為郵件附屬檔案被傳送。

5、當蠕蟲執行8000次後，會停止執行。

日前，一種在全球50多個國家通過電子郵件快速傳播的惡性網路蠕蟲W32.Sircam病毒在國內大面積爆發。我國著名反病毒企業北京瑞星公司率先捕獲並將其徹底查殺。瑞星公司告誡廣大計算機用戶：請儘快將瑞星防毒軟體升級到12.33以上版本，並開啟實時監控，可避免受到該病毒的侵襲。

據瑞星公司反病毒專家介紹，“W32.Sircam.Worm”病毒是一種首發於英國的惡性網路蠕蟲病毒，具有較高的危害程度，主要通過電子郵件附屬檔案進行傳播。在電子郵件中該病毒表現為：正文是一段首尾兩句不變的英文或西班牙文字，其中英文郵件的首尾兩句為：“Hi! How are you?”、“See you later. Thanks”，西班牙文則為：“Hola como estas?”、“Last line: Nos vemos pronto, gracias.”。郵件的附屬檔案和主題一樣，並在後面加上了雙擴展名，其擴展名稱可能是："PIF", "LNK", "BAT", "EXE" 或"COM" 五種中的任意一種。

用戶一旦打開附屬檔案，該網路蠕蟲病毒將達到以下破壞目的：

1.隨意選擇機器硬碟內的檔案作為附屬檔案，向外傳送，導致機器內重要檔案對外公開；

2.病毒發作時自動刪除C糟所有檔案；

3.每一次啟動時自動在硬碟中寫入垃圾檔案，直至吞噬硬碟所有可用空間，導致系統無法工作。

[手工解決辦法]

1、清空資源回收筒，因為Sircam.sys檔案將隱藏在資源回收筒中

2、在DOS模式下打開Autoexec.bat檔案，如果有如下欄位則刪除"@win \recycled\sirc32.exe"

3、更改註冊表

將regedit.exe 改名為 regeditcom 因為此種病毒在每運行一次exe檔案的同時都會發作一次

進入dos模式，鍵入"copy regedit.exe regeditcom"。

回到windows模式，進入註冊表編輯器，查找主鍵：

HKEY_CLASSES_ROOT\exefile\shell\open\command

刪除其原有鍵值，並將其鍵值改為 "%1" %*

查找主鍵 HKEY_LOCAL_MACHINE\Software\SirCam 並將其刪除

查找主鍵 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

在其右側的面板中，如果有 Driver32. 則堅決刪除

郵件主題：不固定

附加檔案：不固定，但與郵件主題同名

郵件內容：英文或西班牙文，如下

英文：Hi！How ar eyou？I send you this file insgroupsto have your advice OR I hope you can help me with this file that I send OR I hope you like the file that I send you OR This is the file with the information that you ask for See you later.Thanks

西班牙文：Hola como estas？Te mandoeste archivo paraque me des tupunto devista ORE sperome puedasayudar conel archivoque te mando ORE sperotegusteeste archivoque te mando ORE ste esel archivocon ia informacion que me pediste Nos vemospronto，gracias.

今年7月份首次在網際網路上出現的SirCam病毒預計將於10月16日再次爆發。

這種病毒據信可以竊取受感染計算機系統中的個人檔案並將這些檔案在網際網路上進行傳播。在一年中的某一天，這種病毒還可以隨機選擇一些受感染的計算機然後將其硬碟上儲存的內容全部刪除。

安全專家稱，SirCam現已成為網際網路上最臭名昭著的病毒之一。據稱，這種病毒以電子郵件的形式進入用戶的計算機系統當中，並假裝向用戶徵求諮詢意見，一旦用戶打開帶有病毒的電子郵件，這種病毒就隨機竊取並傳播計算機硬碟驅動器中的個人檔案。

業內出版物稱，根據每個月進行的抽樣調查，這種病毒目前仍然毒性很強，而且高居連網計算機容易感染的頭號病毒。據稱，等到10月16日這一天，每20台被感染的計算機當中就有1台可能面臨硬碟內容被刪除的危險。

為此，網路專家敦促所有網際網路用戶儘可能在10月16日之前做好防範SirCam病毒的一切準備。

追蹤起來相當困難，因為沒有人聲稱是紅色代碼的製造者，儘管有人估計這是網際網路有史以來經濟損失最大的電腦病毒之一———吉瑞.福瑞斯

Hi！How ar eyou？

I send you this file insgroupsto have your advice OR I hope you can help me with this file that I send OR I hope you like the file that I send you OR This is the file with the information that you ask for See you later.Thanks

郵件看起來十分客氣，可就是這段客氣的文字，近來卻讓全球網民觀之色變，因為它來自Sircam。發現於美國的新病毒--Sircam最近在網路上蔓延，災情有逐漸擴散之勢，根據全球防毒軟體廠商趨勢分析，該病毒主要通過電子郵件進行傳播，計算機族一旦執行電子郵件中夾帶的附加檔案，計算機就會遭病毒感染。之後，病毒會自動尋找通訊簿中的名單，自動傳送病毒郵件。在自動傳送病毒郵件的同時，病毒會隨機尋找“我的文檔”中的一個檔案當做郵件附屬檔案。除了造成病毒大量擴散之外，也有可能造成在“我的文檔”內的機密資料外泄。

讓全球反病毒專家頗為頭疼的是，該病毒最為狡猾之處在於，帶有病毒的電郵沒有固定的，因而令人防不勝防，即使是FBI(美國聯邦調查局)中的反黑客高手，在這種病毒面前，也有些躊躇。究竟誰是最近在全球範圍內大肆蔓延的破壞性電腦病毒Sircam和紅色代碼的製造者，這是聯邦調查局近日最頭疼的問題之一。

據聯邦調查局專門用於反計算機犯罪的機構國家基礎設施保護中心(NIPC)的女發言人黛布拉.威爾曼透露，現在聯邦調查局已調動了全球範圍內的4000名安全專家，用於追蹤Sircam和紅色代碼的製造者。“有關方面有信心抓住這兩個惡性蠕蟲病毒的始作俑者，法律也將對此進行嚴懲！抓住這些病毒的製造者只是時間問題！”黛布拉.威爾曼說。不過，真的要把Sircam和紅色代碼的製造者找出來，也絕非易事。

黛布拉.威爾曼承認，在茫茫人海中要想把這兩種蠕蟲病毒的製造者找出來，就如同把灑落在地球各地的一片片拼圖模組一個一個地找出來，然後再拼在一起，其難度可想而知。據聯邦調查局有關人士透露，其反計算機犯罪機構國家基礎設施保護中心的研究人員，正在全力以赴研究來自世界各地的有關這兩種病毒的調查報告。黛布拉.威爾曼說，國家基礎設施保護中心主要依靠遍布世界各地的掌握有專門的計算機知識、並且和聯邦調查局有著密切聯繫和共享情報合作的人員及機構的合作，共同對付計算機病毒的製造者。

除此之外，聯邦調查局還動用了各種關係，與全球各國的反病毒公司獲取各種有關Sircam和紅色代碼的各種信息，以便從中尋找其製造者的蛛絲馬跡。雖然多數反病毒廠商對緝拿Sircam和紅色代碼的製造者並沒有多大興趣，但是迫於聯邦調查局的影響力和考慮到今後有可能的合作關係，多數反病毒廠商都會向聯邦調查局提供手頭有關這兩種蠕蟲病毒的技術支持。

儘管聯邦調查局有著全球最為龐大的犯罪偵查機構，可真正追尋起Sircam和紅色代碼的製造者來，依舊是感到力不從心。雖然聯邦調查局一再聲稱抓到這兩種蠕蟲病毒的製造者只是時間問題，可實際上真正的追蹤工作困難重重。負責反智慧型犯罪的吉瑞.福瑞斯表示，追蹤起來相當困難，因為沒有人聲稱是紅色代碼的製造者，Sircam的製造者追蹤起來同樣如此。不過，從世界各地匯總來的信息之中，也有不少看起來對確定追蹤方向有所幫助的。

德國聯邦信息技術安全辦公室在本月初發布的訊息中稱，荷蘭的黑客們已經宣稱他們是“紅色代碼II”病毒的製造者了。同時，從法新社傳來的訊息則透露，荷蘭的黑客組織29a在新聞組討論中聲稱是他們開始傳播這種蠕蟲病毒的。不過對於這些訊息，德國聯邦信息技術安全辦公室的專家福蘭克.費爾斯曼稱，目前尚無證據證明這些黑客就是該病毒的作者。費爾斯曼強調：“這種在網際網路上像滾雪球一樣的病毒傳播方式是很難讓人找出病毒的真正作者的。”費爾斯曼還說，儘管“紅色代碼I”在受感染的網頁上留下“中國製造”(Hacked by Chinese)字樣，但現在看來，該病毒並非中國製造。

計算機病毒紅色代碼及其變種在網路上擴散的速度雖然趨緩，但其造成的損害卻與日俱增，使之成為威脅網路安全的電腦病毒中讓用戶付出代價最高者之一。據美國加州計算機經濟(Computer Economics)公司估計，該病毒一代及二代在美國造成的經濟損失，已增至近20億美元。在損失不斷擴大的同時，聯邦調查局的追蹤依然在繼續。曾經與他人合作，成功追蹤到梅莉莎病毒製造者的史密斯透露，通過分析計算機伺服器和防火牆的日誌檔案，可以查找到究竟是哪一台計算機最初產生了這些病毒，不過所要做的工作量相當大。黛布拉.威爾曼則表示，如果病毒的製造者不是在美國，美國將與國外的司法機構合作，確保製造者得到應有的懲罰。

但是，聯邦調查局也不得不承認，儘管可以抓到罪犯，但如果想知道這兩種惡性蠕蟲病毒的原始碼，則要取決於其製造者是不是肯開口。與追蹤同步，蠕蟲病毒正逐步升級，最新的報告來自韓國。韓國情報和通訊部部長透露，計算機病毒紅色代碼已經變異出第三種更危險的版本。該部官員說：“已有十份受到感染的報告，我們相信這是最新的紅色代碼三型病毒在作怪。”他說，“紅色代碼三型蠕蟲病毒的傳播速度比先前的版本更快，在受感染的機器開啟更寬的‘後門’，使得計算機將來受到黑客攻擊的可能性更大。”

日本信息處理振興事業協會（IPA）於2001年8月3日發表了2001年7月份計算機病毒報告。由於“W32/Magistr”和“W32/Sircam”這兩種通過電子郵件感染並破壞計算機內部數據的病毒的擴散，感染病毒報告次數達到了1738次，大約是去年同月的2.5倍，實際受害率為19.8%，比6月增加了8.3個百分點。

尤其是7月中旬開始出現的Sircam感染次數達到了520次，除刷新了作為新病毒首次出現月份報告次數記錄之外，其實際受害率也高達23%。由於Sircam是將病毒嵌入作為電子郵件附屬檔案的Word及Excel檔案入侵，因此感染範圍較大；破壞BIOS的數據的Magistr病毒的報告次數為202次（實際受害率為16.3%）；“VBS/Haptime”病毒的報告次數為35次（實際受害率20%），該病毒只在打開郵件正文時會進行感染、並將刪除被感染計算機的擴展名為EXE或者DLL檔案。