Sircam病毒简介(一)
来源:瑞星公司 时间:2001-10-15 16:10:00
病毒名称:W32.Sircam.Worm@mm
别名: W32/SirCam@mm, Backdoor.SirCam
蠕虫W32.Sircam.Worm@mm自身包含 SMTP引擎,感染方式有点类似W32.Magistr.Worm。
该蠕虫目前已经被列为危险级病毒。
触发日期:10月16日
病毒行为:
蠕虫将染毒机器中产生的随机文档隐藏到自身代码中;
蠕虫将删除C盘上的所有文件及文件夹,仅当系统日期格式为 D/M/Y(日/月/年);
每次启动时蠕虫通过向c: ecycledsircam.sys文件中添加文本使硬盘上的空余空间被充满,
文本中包含下面的字符串:
[SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
或
[SirCam Version 1.0 Copyright ¬ 2000 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico];
病毒传播:
1)邮件:从两种渠道获取邮件地址:
-----按照注册表HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionExplorerShell FoldersStartupCache
指定的路径搜索下列文件:sho*., get*., hot*., *.htm并将邮件地址拷贝到
%Windows%sc??.dll (其中?代表随机的数字或字母)
-----搜索所有驱动器,寻找*.wab文件( Windows地址簿)并拷贝其中的邮件地址。
邮件内容:
主题:随机,但与附件的文件名相同。
消息主体:第一行和最后一行不变,其他部分随机。
英文:
First line: Hi! How are you?
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send you
This is the file with the information that you ask for
Last line: See you later. Thanks
西班牙文:
First line: Hola como estas ?
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste
Last line: Nos vemos pronto, gracias.
附件:
SirC32.exe
Tech Specs and Financials.doc.com
2)共享驱动器:搜索所有共享驱动器将蠕虫复制到该驱动器中。并执行:
------将自身拷贝到 ecycledsirc32.exe
------在autoexec.bat文件中添加一行:
"@win ecycledsirc32.exe"
------复制文件Windows undll32.exe到Windows un32.exe
------用本地文件 c: ecycledsirc32.exe替换Windows undll32.exe
其他:
1.蠕虫复制自身到 %TEMP% 、 C: ecycled其中包含附件中的文档(doc,xls.zip)。
2.拷贝自身到C: ecycledsirc32.exe 、 %System%scam32.exe。
3 添加注册键的值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
值:Driver32=%System%scam32.exe
创建注册键HKEY_LOCAL_MACHINESoftwareSirCam 其中包含下列值:
FB1B - 保存蠕虫在recycled目录中的文件名。
FB1BA -保存 SMTP的 IP地址。
FB1BB - 保存发送者的邮件地址。
FC0 - 保存蠕虫已经执行的次数。
FC1 - 保存蠕虫的版本。
FD1 - 保存已经执行的蠕虫文件名。
设置注册键HKEY_CLASSES_ROOTexefileshellopencommand
为 C: ecycledsirc32.exe "%1" %*"
作用是当任何一个EXE文件运行时,都会执行蠕虫。
4、按照注册表
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersStartupPersonal
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersStartupDesktop
指定的路径搜索下列类型的文件 .DOC, .XLS, .ZIP, 和 .EXE,找到匹配的文件后将添加蠕虫,新文件将作为邮件附件被发送。
5、当蠕虫执行8000次后,会停止执行。