名字:W32/Sircam-A
别名:W32.Sircam.Worm@mm, W32/SirCam@mm, Backdoor.SirCam
类别:win32蠕虫
coolinger翻译
说明:
W32/Sircam-A是一个网络病毒,它通过EMAIL和打开的网络共享来传播.它通过查找
"我的文件夹"目录里的文件,随机发送一个具备相同名字的
主题的EMAIL和这个标题一样的附件.注意这个附件的文件名是比较特殊的双后缀名,
例如.doc.com或者mpg.pif等.如果附件被打开的话,那么这个蠕虫就复制自身到windows
系统目录下并命名为scam32.exe,同时它还COPY自身到到垃圾箱文件目录下并命名为sir
c32.exe.注意这两个文件的属性是隐含哦,要看的话先把它的属性改掉.
这个蠕虫还改变HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVers
ion/RunServices/Driver32="/SCam32.exe"注册表的值让windows启动的时候自动启动
蠕虫,同时还改变HKEY_CLASSES_ROOT/exefile/shell/open/command=""C:/recycled/S
irC32.exe" "%1" %*"使病毒在用户运行任何EXE程序时被运行.蠕虫使用HKLM/Softwar
e/SirCam来存储一些核心数据.
如果蠕虫发现网络上的共享的话,那么它就开始尝试把它自己复制到对方的共享上
面并且命名为rundll32.exe,原始的rundell32.exe被命名为run32.exe.如果这样成功的
话,那么它就改变autoexec.bat来运行被复制到垃圾箱文件目录下的这个蠕虫.
这个蠕虫有自己的smtp事务通过WINDOWS的地址薄中和INTERNET缓存中能找到的所
有邮箱地址发送, 同一个邮件地址可能发送多个病毒附件.
不同的操作系统语言环境可能产生不同的信笺内容,一般情况下:
英文系统中的第一行通常为:
"Hi! How are you?"
接下来选择下面其中的一行来当作第2行的内容:
"I send you this file in order to have your advice"
"I hope you like the file that I sendo you"
"I hope you can help me with this file that I send"
"This is the file with the information you ask for"
第3行通常为"See you later. Thanks"
如果系统是西班牙语言的,那么第一行通常内容为:
"Hola como estas ?"
第2行从下面的其中一行来选择:
"Te mando este archivo para que me des tu punto de vista"
"Espero te guste este archivo que te mando"
"Espero me puedas ayudar con el archivo que te mando"
"Este es el archivo con la informacion que me pediste"
最后一行通常为:
"Nos vemos pronto, gracias."
在10月16日,病毒将尝试把你的硬盘的文件里的文件全部删除.
由于病毒使用.EXE .COM .LNK .PIF .BAT的后缀名来执行病毒体,而
一般的杀毒软件都不检查.lnk和.bat的文件,所以你需要把他们也列入检查目录.
别名:W32.Sircam.Worm@mm, W32/SirCam@mm, Backdoor.SirCam
类别:win32蠕虫
coolinger翻译
说明:
W32/Sircam-A是一个网络病毒,它通过EMAIL和打开的网络共享来传播.它通过查找
"我的文件夹"目录里的文件,随机发送一个具备相同名字的
主题的EMAIL和这个标题一样的附件.注意这个附件的文件名是比较特殊的双后缀名,
例如.doc.com或者mpg.pif等.如果附件被打开的话,那么这个蠕虫就复制自身到windows
系统目录下并命名为scam32.exe,同时它还COPY自身到到垃圾箱文件目录下并命名为sir
c32.exe.注意这两个文件的属性是隐含哦,要看的话先把它的属性改掉.
这个蠕虫还改变HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVers
ion/RunServices/Driver32="/SCam32.exe"注册表的值让windows启动的时候自动启动
蠕虫,同时还改变HKEY_CLASSES_ROOT/exefile/shell/open/command=""C:/recycled/S
irC32.exe" "%1" %*"使病毒在用户运行任何EXE程序时被运行.蠕虫使用HKLM/Softwar
e/SirCam来存储一些核心数据.
如果蠕虫发现网络上的共享的话,那么它就开始尝试把它自己复制到对方的共享上
面并且命名为rundll32.exe,原始的rundell32.exe被命名为run32.exe.如果这样成功的
话,那么它就改变autoexec.bat来运行被复制到垃圾箱文件目录下的这个蠕虫.
这个蠕虫有自己的smtp事务通过WINDOWS的地址薄中和INTERNET缓存中能找到的所
有邮箱地址发送, 同一个邮件地址可能发送多个病毒附件.
不同的操作系统语言环境可能产生不同的信笺内容,一般情况下:
英文系统中的第一行通常为:
"Hi! How are you?"
接下来选择下面其中的一行来当作第2行的内容:
"I send you this file in order to have your advice"
"I hope you like the file that I sendo you"
"I hope you can help me with this file that I send"
"This is the file with the information you ask for"
第3行通常为"See you later. Thanks"
如果系统是西班牙语言的,那么第一行通常内容为:
"Hola como estas ?"
第2行从下面的其中一行来选择:
"Te mando este archivo para que me des tu punto de vista"
"Espero te guste este archivo que te mando"
"Espero me puedas ayudar con el archivo que te mando"
"Este es el archivo con la informacion que me pediste"
最后一行通常为:
"Nos vemos pronto, gracias."
在10月16日,病毒将尝试把你的硬盘的文件里的文件全部删除.
由于病毒使用.EXE .COM .LNK .PIF .BAT的后缀名来执行病毒体,而
一般的杀毒软件都不检查.lnk和.bat的文件,所以你需要把他们也列入检查目录.
