1、*病毒简介

　　日前，一种在全球50多个国家通过电子邮件快速传播的恶性网络蠕虫W32.Sircam病毒在国内大面积爆发。我国著名反病毒企业北京瑞星公司率先捕获并将其彻底查杀。瑞星公司告诫广大计算机用户：请尽快将瑞星杀毒软件升级到12.33以上版本，并开启实时监控，可避免受到该病毒的侵袭。

　　据瑞星公司反病毒专家介绍，“W32.Sircam.Worm”病毒是一种首发于英国的恶性网络蠕虫病毒，具有较高的危害程度，主要通过电子邮件附件进行传播。在电子邮件中该病毒表现为：正文是一段首尾两句不变的英文或西班牙文字，其中英文邮件的首尾两句为：“Hi! How are you?”、“See you later. Thanks”，西班牙文则为：“Hola como estas?”、“Last line: Nos vemos pronto, gracias.”。邮件的附件和主题一样，并在后面加上了双扩展名，其扩展名称可能是："PIF", "LNK", "BAT", "EXE"或"COM"五种中的任意一种。

　　用户一旦打开附件，该网络蠕虫病毒将达到以下破坏目的：

　　1.随意选择机器硬盘内的文件作为附件，向外发送，导致机器内重要文件对外公开；2.病毒发作时自动删除C盘所有文件；3.每一次启动时自动在硬盘中写入垃圾文件，直至吞噬硬盘所有可用空间，导致系统无法工作。瑞星敬告所有电脑用户，如果没有使用瑞星杀毒软件，应将具有以上特征的可疑邮件及时删除，以保护电脑中宝贵信息。

　　2、病毒相关资料

　　病毒名称：W32.Sircam.Worm@mm别名：W32/SirCam@mm, Backdoor.SirCam

　　病毒简介：蠕虫W32.Sircam.Worm@mm自身包含SMTP引擎，感染方式有点类似W32.Magistr.Worm。该蠕虫目前已经被列为危险级病毒。

　　触发日期：10月16日病毒行为：蠕虫将染毒机器中产生的随机文档隐藏到自身代码中；蠕虫将删除C盘上的所有文件及文件夹，仅当系统日期格式为D/M/Y(日/月/年)；每次启动时蠕虫通过向c: ecycledsircam.sys文件中添加文本使硬盘上的空余空间被充满，文本中包含下面的字符串：

　　[SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]或[SirCam Version 1.0 Copyright￢2000 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]；

　　病毒传播：1)邮件：从两种渠道获取邮件地址：-----按照注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionxplorerShell FoldersStartupCache指定的路径搜索下列文件：sho*., get*., hot*., *.htm并将邮件地址拷贝到%Windows%sc??.dll (其中？代表随机的数字或字母)-----搜索所有驱动器，寻找*.wab文件( Windows地址簿)并拷贝其中的邮件地址。

　　邮件内容：主题：随机，但与附件的文件名相同。消息主体：第一行和最后一行不变，其他部分随机。

　　英文：First line: Hi! How are you?I send you this file insgroupsto have your adviceI hope you can help me with this file that I sendI hope you like the file that I send youThis is the file with the information that you ask forLast line: See you later. Thanks

　　西班牙文：First line: Hola como estas ?Te mando este archivo para que me des tu punto de vistaEspero me puedas ayudar con el archivo que te mandoEspero te guste este archivo que te mandoEste es el archivo con la informacion que me pedisteLast line: Nos vemos pronto, gracias.

　　附件：SirC32.exeTech Specs and Financials.doc.com

　　2)共享驱动器：搜索所有共享驱动器将蠕虫复制到该驱动器中。并执行：------将自身拷贝到 ecycledsirc32.exe------在utoexec.bat文件中添加一行："@win ecycledsirc32.exe" ------复制文件Windows undll32.exe到Windows un32.exe------用本地文件c: ecycledsirc32.exe替换Windows undll32.exe

　　其他：

　　1.蠕虫复制自身到%TEMP%、C: ecycled其中包含附件中的文档(doc,xls.zip)。2.拷贝自身到C: ecycledsirc32.exe、%System%scam32.exe。3添加注册键的值：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices值：Driver32=%System%scam32.exe创建注册键HKEY_LOCAL_MACHINESoftwareSirCam其中包含下列值：

　　FB1B -保存蠕虫在recycled目录中的文件名。FB1BA -保存SMTP的IP地址。FB1BB -保存发送者的邮件地址。FC0 -保存蠕虫已经执行的次数。FC1 -保存蠕虫的版本。FD1 -保存已经执行的蠕虫文件名。

　　设置注册键HKEY_CLASSES_ROOTxefileshellopenmmand为C: ecycledsirc32.exe "%1" %*"作用是当任何一个EXE文件运行时，都会执行蠕虫。

　　4、按照注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionxplorerShell FoldersStartupPersonalHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionxplorerShell FoldersStartupDesktop

　　指定的路径搜索下列类型的文件.DOC, .XLS, .ZIP,和.EXE，找到匹配的文件后将添加蠕虫，新文件将作为邮件附件被发送。

　　5、当蠕虫执行8000次后，会停止执行。

　　3、瑞星解决方案

　　1、清空回收站，因为Sircam.sys文件将隐藏在回收站中2、在DOS模式下打开Autoexec.bat文件，如果有如下字段则删除"@win ecycledsirc32.exe" 3、更改注册表，将regedit.exe改名为regedit.com因为此种病毒在每运行一次exe文件的同时都会发作一次进入dos模式，键入"copy regedit.exe regedit.com"。回到windows模式，进入注册表编辑器，查找主键：HKEY_CLASSES_ROOTxefileshellopenmmand删除其原有键值，并将其键值改为"%1" %*查找主键HKEY_LOCAL_MACHINESoftwareSirCam并将其删除查找主键HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices在其右侧的面板中，如果有Driver32.则坚决删除。瑞星12.33版本已经成功捕获该病毒，请用户及时下载升级。

　　4、Sircam病毒相关报道报道一、网络蠕虫(sircam病毒)肆虐两周造成重大损失

　　由于其本身极强的传播性和危害性，已经肆虐两周的I-WORM/Sircam网络蠕虫病毒目前仍然是人们关注的焦点。网络蠕虫I-WORM/Sircam病毒已将计算机用户的文档大量泄漏并严重堵塞了网络的流通，使许多网站的网络通信中断服务，该病毒泛滥程度和危害程度相当严重，必须严加防范。

　　据了解，I-WORM/Sircam病毒的全球流行，使前后数十万台电脑中毒。该病毒是继“快乐时光”和“陷阱”蠕虫病毒之后的又一大恶性病毒，并已经蹿升至全球病毒排行榜榜首。在国内，该病毒竟然借著名网友老榕的名人效应向电脑用户肆意传播，已成为各大反病毒厂家专盯的头号对象。

　　I-WORM/Sircam病毒是一个通过Email来传播的INTERNET网络蠕虫程序，其Email的名字是随所随带的文档的名字而变化的。该病毒目前有A，B，C形3个变种，其病毒的主体长度是：137216、139264、143360字节，病毒贴在泄密的文挡前，其总长度大于病毒长度。

　　该病毒的传播能力极其强大，只要用户电子邮箱被获取，它就往邮箱里跑，它不是跑进一个病毒体，而是将染毒机器中所有的DOC、XLS、ZIP文档的前部贴上病毒体后再全跑进去，当某部计算机被传染后，病毒再以同样的方式向外传播。短期内可形成了巨大的病毒潮涌，严重的堵塞了网络的流通，使相当多的网站和网络通信中断服务。计算机用户个人文档丢失的数量也在不断攀升。而目前网络服务器上公众电子邮箱的“门口”并没有防止病毒“入内”的措施，无法阻止病毒的进入信箱。只有网络下端、即在自家的计算机上才装有“实时监测”病毒防火墙，这多少有些被动。

　　该网络蠕虫的破坏时间在每年的10月16日，届时，蠕虫程序会将C盘上的所有文件以及目录删除；同时还会在系统的回收站中写入文件：SirCam.sys.进行破坏，一直到硬盘的剩余空间为零。

　　报道二、

　　台湾逾十万台电脑遭SirCam病毒袭击

　　台北讯，Sircam病毒在台湾传出重大灾情，估计目前已有超过十万台电脑中毒。

　　Sircam病毒(又名Troj_sircam、w32.sircam)除了通过电子邮件传送，也是第一个会透过区域网络内的“网络芳邻”自我繁殖的病毒。只要区域网络内的其中一台电脑中毒，病毒便会在很短的期间内感染网络芳邻中所有电脑，因此传递速度与规模都远甚于传统的E-mail病毒。

　　Sircam病毒自上星期三在美国被发现后，已在北美、澳洲等地造成巨大祸害。防毒软件公司呼吁网路使用者近期避免轻易开启不明档案，并尽速更新病毒码。

   手机铃声下载 快乐多多 快来搜索好歌!
      新浪企业广场诚征全国代理