蠕虫病毒的查杀 (转)[@more@]名字:W32/Sircam-A
别名:W32.Sircam.Worm@mm, W32/SirCam@mm, backdoor.SirCam
类别: win32 蠕虫
coolinger翻译
说明:
W32/Sircam-A是一个 网络 病毒,它通过E Mail和打开的网络共享来传播.它通过查找
"我的 文件夹"目录里的文件,随机发送一个具备相同名字的
主题的 email和这个标题一样的附件.注意这个附件的文件名是比较特殊的双后缀名,
例如.doc.com或者mpg.pif等.如果附件被打开的话,那么这个蠕虫就复制自身到 windows
系统目录下并命名为scam32.exe,同时它还COPY自身到到垃圾箱文件目录下并命名为sir
c32.exe.注意这两个文件的属性是隐含哦,要看的话先把它的属性改掉.
这个蠕虫还改变HKEY_LOCAL_MACHINESoftware microsoftWindowsCurrentVers
ionRunServices driver32="SCam32.exe"注册表的值让windows启动的时候自动启动
蠕虫,同时还改变HKEY_CLASSES_ rootexefile shellopencommand=""C:recycledS
irC32.exe" "%1" %*"使病毒在 用户运行任何EXE 程序时被运行.蠕虫使用HKLMSoftwar
eSirCam来 存储一些核心数据.
如果蠕虫发现网络上的共享的话,那么它就开始尝试把它自己复制到对方的共享上
面并且命名为rundll32.exe,原始的rundell32.exe被命名为run32.exe.如果这样成功的
话,那么它就改变autoexec.bat来运行被复制到垃圾箱文件目录下的这个蠕虫.
这个蠕虫有自己的smtp事务通过WINDOWS的地址薄中和INTE .NET缓存中能找到的所
有 邮箱地址发送, 同一个 邮件地址可能发送多个病毒附件.
不同的 操作系统语言环境可能产生不同的信笺内容,一般情况下:
英文系统中的第一行通常为:
"Hi! How are you?"
接下来选择下面其中的一行来当作第2行的内容:
"I send you this file in order to have your advice"
"I hope you like the file that I sendo you"
"I hope you can help me with this file that I send"
"This is the file with the information you ask for"
第3行通常为"See you later. Thanks"
如果系统是西班牙语言的,那么第一行通常内容为:
"Hola como estas ?"
第2行从下面的其中一行来选择:
"Te mando este archivo para que me des tu punto de Vista"
"Espero te guste este archivo que te mando"
"Espero me puedas ayudar con el archivo que te mando"
"Este es el archivo con la informacion que me pediste"
最后一行通常为:
"N os vemos pronto, gracias."
在10月16日,病毒将尝试把你的 硬盘的文件里的文件全部删除.
由于病毒使用.EXE . com .LNK .PIF .BAT的后缀名来 执行病毒体,而
一般的 杀毒 软件都不检查.lnk和.bat的文件,所以你需要把他们也列入检查目录.
别名:W32.Sircam.Worm@mm, W32/SirCam@mm, backdoor.SirCam
类别: win32 蠕虫
coolinger翻译
说明:
W32/Sircam-A是一个 网络 病毒,它通过E Mail和打开的网络共享来传播.它通过查找
"我的 文件夹"目录里的文件,随机发送一个具备相同名字的
主题的 email和这个标题一样的附件.注意这个附件的文件名是比较特殊的双后缀名,
例如.doc.com或者mpg.pif等.如果附件被打开的话,那么这个蠕虫就复制自身到 windows
系统目录下并命名为scam32.exe,同时它还COPY自身到到垃圾箱文件目录下并命名为sir
c32.exe.注意这两个文件的属性是隐含哦,要看的话先把它的属性改掉.
这个蠕虫还改变HKEY_LOCAL_MACHINESoftware microsoftWindowsCurrentVers
ionRunServices driver32="SCam32.exe"注册表的值让windows启动的时候自动启动
蠕虫,同时还改变HKEY_CLASSES_ rootexefile shellopencommand=""C:recycledS
irC32.exe" "%1" %*"使病毒在 用户运行任何EXE 程序时被运行.蠕虫使用HKLMSoftwar
eSirCam来 存储一些核心数据.
如果蠕虫发现网络上的共享的话,那么它就开始尝试把它自己复制到对方的共享上
面并且命名为rundll32.exe,原始的rundell32.exe被命名为run32.exe.如果这样成功的
话,那么它就改变autoexec.bat来运行被复制到垃圾箱文件目录下的这个蠕虫.
这个蠕虫有自己的smtp事务通过WINDOWS的地址薄中和INTE .NET缓存中能找到的所
有 邮箱地址发送, 同一个 邮件地址可能发送多个病毒附件.
不同的 操作系统语言环境可能产生不同的信笺内容,一般情况下:
英文系统中的第一行通常为:
"Hi! How are you?"
接下来选择下面其中的一行来当作第2行的内容:
"I send you this file in order to have your advice"
"I hope you like the file that I sendo you"
"I hope you can help me with this file that I send"
"This is the file with the information you ask for"
第3行通常为"See you later. Thanks"
如果系统是西班牙语言的,那么第一行通常内容为:
"Hola como estas ?"
第2行从下面的其中一行来选择:
"Te mando este archivo para que me des tu punto de Vista"
"Espero te guste este archivo que te mando"
"Espero me puedas ayudar con el archivo que te mando"
"Este es el archivo con la informacion que me pediste"
最后一行通常为:
"N os vemos pronto, gracias."
在10月16日,病毒将尝试把你的 硬盘的文件里的文件全部删除.
由于病毒使用.EXE . com .LNK .PIF .BAT的后缀名来 执行病毒体,而
一般的 杀毒 软件都不检查.lnk和.bat的文件,所以你需要把他们也列入检查目录.
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10748419/viewspace-976389/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/10748419/viewspace-976389/
299
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
