恶性网络蠕虫I-WORM/Sircam病毒的清除(1)
　2001-08-01 15:23:21

　　
　　一种首发于英国的恶性网络蠕虫I-WORM/Sircam病毒已经开始涌进我国上网用户。我国反病毒应急处理成员单位、北京江民新科技术有限公司接到告急用户数百个，部分网络服务器遭遇堵塞。北京江民新科技术有限公司著名反病毒专家王江民告诫广大上网用户，请抓紧升级最新版反病毒软件KV3000，并开启KVW3000病毒实时监测防火墙，可有效的防范该病毒的侵犯。

　　I-WORM/Sircam病毒的特点：

　　该病毒目前有A，B，C形3个变种，其病毒的主体长度是：137216、139264、143360字节，其Email附件长度有的大于此长度。

　　I-WORM/Sircam是一个通过EMAIL来传播的INTERNET网络蠕虫程序，其Email的名字是随机变化的。

　　它传播自身的同时，也要大量的将用户的DOC、XLS、ZIP文档的前部贴上病毒体后再通过互联网到处乱发，这在一定程度上可造成泄密；

　　信件的主题：（随机的，和邮件附件的文件名称一致，显然附件的文件名称是随机获得的）信件的主体：（如果你收到类似的信件的话，请注意）。
　　Hi! How are you? （嗨，您好！）
　　I send you this file in order to have your advice（我将此文件发送给您，想听听您的意见）
　　See you later.Thanks （再见！谢谢）

　　注：该网络蠕虫本来想从以下的几种中选择中间的那句话的：
　　1）I send you this file in order to have your advice
　　我将该文件发送给您，想听听您的意见。
　　2）I hope you can help me with this file that I send
　　我想请你帮帮我发送的文件。
　　3）I hope you like the file that I sendo you
　　希望您喜欢我给您发送的文件
　　4）This is the file with the information that you ask for
　　这是您要的信息文件

　　但是实际上只能是第一种选择。

　　信件的附件：和主题一样，只不过加上了双扩展名。

　　实际上该网络蠕虫的扩展名称可能是："PIF", "LNK", "BAT", "EXE" 或"COM" 五
　　种中的任意一种；

　　病毒的特性：当用户打开附件时候，该网络蠕虫程序对系统的注册表增加两项：

　　（1）HKEY_CLASSES_ROOTexefileshellopencommandDefault ,将其数值修改为：
　　　c:RecycledSirC32.exe "%1" %* ;

　　显然文件：SirC32.exe被拷贝到目录c:Recycled下，使得所有的EXE文件的执行都必须有文件SirC32.exe（网络蠕虫）文件的支持。

|下一页||尾　页|