彻底删除W32.Sircam蠕虫病毒！
　2001-07-23 16:02:02

　　 新华网消息 据计算机世界网报道（包冉）从上周一起，一种名为W32.Sircam.Worm@mm的蠕虫病毒迅速开始在全球范围内肆虐，危害涉及50多个国家。从上周五开始，我国大陆地区的许多用户也已经感染此病毒。据悉，赛门铁克等世界知名反病毒软件供应商已经开始提供此病毒的定义及查杀程序。但根据记者的亲身体验，如要彻底查杀此病毒，还需手工删除。以下为此病毒的机理及删除方法。
　　病毒名称：W32.Sircam.Worm@mm
　　危险等级：4级（5级最高）
　　病毒类别：蠕虫
　　
　　表现：邮件正文是如下的一段英文或西班牙文，中间内容有可能出入，但首尾两句不变。
　　
　　英文：Hi! How are you?
　　
　　I send you this file in order to have your advice（中间一句有可能不是这样的）
　　
　　See you later. Thanks
　　
　　西班牙文：
　　Hola como estas ?
　　（中间内容有可能是多种情况，首尾不变）
　　Last line: Nos vemos pronto, gracias.
　　
　　
　　危害：
　　
　　1、群发邮件，选择随机文档附加在你的机器的通讯簿的随机地址进行发送
　　2、删除硬盘文件，特别注意：删除的条件是你的机器使用“日/月/年”的日期格式
　　3、每一次启动都在你的硬盘上写数据，直到塞满硬盘
　　4、泄漏机密：随机将你硬盘上的文件附加进邮件发送
　　
　　删除步骤：
　　
　　1、清空回收站，因为Sircam.sys文件将隐藏在回收站中
　　2、在DOS模式下打开Autoexec.bat文件，如果有如下字段则删除"@win recycledsirc32.exe"
　　3、更改注册表
　　3.1 将regedit.exe 改名为 regedit.com 因为此种病毒在每运行一次exe文件的同时都会发作一次
　　3.2 进入dos模式，键入"copy regedit.exe regedit.com"。
　　3.3 回到windows模式，进入注册表编辑器，查找主键：
　　HKEY_CLASSES_ROOTexefileshellopencommand 删除其原有键值，并将其键值改为 "%1" %*
　　3.4 查找主键 HKEY_LOCAL_MACHINESoftwareSirCam 并将其删除
　　3.5 查找主键
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
　　在其右侧的面板中，如果有 Driver32. 则坚决删除
　　
　　本文技术内容译自赛门特克官方网站，有关病毒的全部英文说明：
　　http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.html