I-WORM/Sircam病毒假借老榕名义肆虐
周永德　　2001-07-24 11:10:47

　　7月23日下午，IT写作社区（www.DoNews.com）出现知名网友老榕发出这样的帖子：“同志们千万别打开以我的名义发的邮件的附件”。好奇点击看，只见老榕说：“不知道谁干的，凡是MAIL的最后一句是“REPLAY TO：JOHN@8848.NET”附件千万不要打开，很可怕的玩意。”
　　
　　仔细看跟帖才知道，这是前两天发现的、最早发作于英国的一种名为I-WORM/Sircam的病毒。和江民公司在其网站上发布的有关该病毒的特征、危害基本相似。
　　
　　该病毒会选择随机文档附加在用户通讯簿的所有地址进行感染，并且删除硬盘文件，删除的条件是你的机器使用“日/月/年”的日期格式。用户每次启动机器，硬盘将被数据塞满。可恶的是它顺便将用户的文件随邮件一起送走。
　　
　　但显然是病毒制作者别出心裁，想借老榕在互联网上的影响力大做文章。笔者立刻询问老榕，老榕说没什么，有趣。只是怕自己的朋友见到“老榕”的邮件就一把删了，很麻烦。
　　
　　之后，笔者向国内反病毒专家王江民询问，他提醒网友千万不要打开这样的邮件。他说老榕收到的该蠕虫病毒的邮件文档名为filerecoverdemo.zip.pif，文档内容为“Hi! How are you? I send you this file in order to have your advice See you later. Thanks”。
　　
　　此外，王江民还传来了查杀病毒的具体办法：
　　
　　一、随时清空回收站。因为Sircam.sys文件隐藏在回收站中；
　　
　　二、在DOS模式下打开Autoexec.bat文件，如果有如下字段则删除"@win recycledsirc32.exe" ；
　　
　　三、按照江民公司网站公布的方法（www.jiangmin.com.cn）更改系统注册表；
　　
　　四、打开KV3000实时监测功能，随时查杀。