恶性网络蠕虫I-WORM/Sircam病毒的清除(2)
　2001-08-01 15:23:21

　　

　　在这一点上和“美丽公园”病毒相似，只不过那时的名称是：files32.vxd.

　　(2)HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunservicesDriver32 ,使其数值为c:windowssystemSCam32.exe.

　　这个注册表项目的修改，使得系统每次启动后，都能自动执行该网络蠕虫程序的主体部分，该部分在WINDOWS的SYSTEM目录下SCam32.exe.

　　当注册表修改成功后，该网络蠕虫程序利用自己的特殊的SMTP（发送邮件协议）来给WINDOWS的地址薄里和用户的临时的INTERNET文件夹的所有人(也就是CACHE目录下）发送该网络蠕虫程序本身。

　　该网络蠕虫程序从“我的文档”的文件夹中，找到DOC、XLS、ZIP等文件名称，该网络蠕虫程序在这些文件的前面依附上自身，并将结果保存在系统的回收站中，并给这些文件又加上如上说的5种扩展名称，使得网络蠕虫的传播时就变成了双扩展名称了。

　　和某些可以在网络邻居上进行传播的病毒一样（比如常见的FUNLOVE4099病毒），如果该病毒发现存在可以读写的网络邻居的话，它就会将自身拷贝到WINDOWS的目录下，并且将文件的名称修改成为rundll32.exe ,而WINDOWS下的原来的文件名称被修改成run32.exe ,同时也存在该目录下。

　　如果修改成功的话，系统的自动批处理文件autoexec.bat也会被修改，使得每次系统启动，该网络蠕虫程序都会被执行。

　　该网络蠕虫程序中，保存着以下的加密字符串：

　　[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
　　[SirCam Version 1.0 Copyright 2001 2rP Made in / Hecho en - Cuitzeo,Michoacan Mexico]

　　该网络蠕虫的破坏作用：

　　如果受感染的机器上的日期的格式是：日/月/年的话，那么在每年的10月16日该网络蠕虫程序会将C盘上的所有文件以及目录删除；

　　在该网络蠕虫程序发现自身不完全时，该网络蠕虫程序就会将WINDOWS安装目录所在的驱动器上的文件和所有的子目录完全删除；

　　同时还会在系统的回收站中写入文件：SirCam.sys.一直到硬盘的剩余空间为零。 清除步骤：

　　1 修改上述注册表项。(也可使用scanreg命令自动恢复备份注册表文件，但要确定所恢复的注册表数据是在感染此病毒之前备份的)

　　必须修改系统的注册表：修改系统注册表的命令是REGEDIT.EXE,可以从系统的运行命令中执行；
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices删除 其中的名称为Driver32的键值，该键值的值是：Scam32.exe (前面还有WINDOWS的安装目录）；

　　HKEY_CLASSES_ROOTexefileshellopencommand(default)
　　HKEY_LOCAL_MACHINE SoftwareClassesexefileshellopencommand(default)
　　这两者必须修改成为系统的原来的数值：""%1"%*"

　　而该病毒增加的数值：
　　HKEY_LOCAL_MACHINESoftwareSirCam 必须整个删除；
　　一般在该项目下面会含有以下的数值：
　　FB1B/FB1BA/FB1BB/FC0/FC1/FD1。
　　其中的FB1BA存放的是SMTP的IP地址；
　　FB1BB存放的是发送者的EMAIL地址；
　　FC0是该网络蠕虫程序被执行的次数；

　　2 使用干净DOS软盘启动机器。

　　3 执行KVD3000.EXE或KV3000.EXE, 查杀所有硬盘，查到部分有毒文件时会先问你要删除吗？请按“Y”键删除病毒体。

　　4 KV3000清除带毒的DOC、XLS、ZIP文件后，用户应再将文件原来的扩展名改回去。

　　5 删除所有报告为I-WORM/SIRCAM.A的网络蠕虫程序，注意必须将系统的“回收站”同时清空；

　　6 现在您可以重新启动计算机；

　　7 进入DOS模式：

　　一般的是：c:windows>;执行如下的命令：
　　cdRecycled
　　c:Recycled>attrib -r sirc32.exe
　　c:Recycled>del sirc32.exe
　　c:Recycled>cd ..
　　c:>cd windows
　　c:windows>attrib -r scam32.exe
　　c:windows>del scam32.exe
　　对于网络邻居的计算机的感染，可以在受感染的计算机上的文件
　　windowsrun32.exe必须改名为rundll32.exe;
　　同时删除系统的autoexec.bat文件中的增加的项目：
　　删除：@win RecycledSirC32.exe ；
　　同时将在系统回收站中的文件SirC32.exe删除。


　　江民公司

|首　页||上一页|