[电脑] 警惕新病毒

mtl160 · 发表于 2001-7-26 10:50

新华网北京４月２９日电（刘燕）赛门铁克防病毒研究中心（ＳＡＲＣ）的研究人员近日发现一种新的蠕虫病毒－－Ｗ３２．ＢＡＣＴＲＡＮＳ．１３３１２＠ＭＭ。该病毒被赛门铁克防病毒研究中心定义为４级病毒（定义为５级的病毒是极度危险的病毒）。

该病毒是一个ＭＡＰＩ蠕虫，会回复用户电子邮件文件夹中的所有未读邮件，同时在被感染的计算机上装入一个特洛伊木马后门程序。目前，该蠕虫的主要感染地区为美国、欧洲和拉丁美洲。从４月１１日开始，该病毒定义就已经可以从赛门铁克网站下载。

感染特征：以．ｐｉｆ或．ｓｃｒ为扩展名的附件，通过电子邮件进行传播。它能感染所有主要邮件客户端程序。一旦该蠕虫病毒被执行，它就会运行Ｗｉｎｄｏｗｓ目录下的文件夹中的特洛伊木马后门程序Ｈｋｋ３２．ｅｘｅ。特洛伊木马程序改变注册表键值以允许自己在每次重启后运行，从而能够远程访问被感染的机器，并且记录所有键盘输入。这个蠕虫同时会改变ｗｉｎ．ｉｎｉ文件，因此任何时间当计算机被重启时，该蠕虫会等候５分钟，然后利用ＭＡＰＩ去回复所有未读邮件。

防护建议：用户应该过滤所有附件扩展名为．ｐｉｆ　和．ｓｃｒ的电子邮件，同时这也可以使系统免受其它恶意代码的侵袭。关于如何删除这一蠕虫和恢复已受感染的机器的信息，请见赛门铁克防病毒研究中心的网址：ｗｗｗ．ｓａｒｃ．ｃｏｍ。（完）

mtl160 · 发表于 2001-8-5 09:16

本人电脑日前正在网上传播的I-WORM/Sircam病毒被此病毒感染，希望大家注意。这种病毒是通过电子邮件传播的，邮件的特征：

1、Email的内容：
Hi! How are you?
I send you this file in order to have your advice.
See you later.Thanks

2、带附件，附件文件的扩展名称可能是："

IF", "LNK", "BAT", "EXE" 或"COM" 五种中的任意一种。

看到这种邮件，不要打开附件，只要将这个邮件删除即可。

如果你打开过附件，或者发现你的硬盘空间变小而不能运行，你可能已经中了毒。即使这样，不要着急，你可以参考： http://www.jiangmin.com/fanbd/0801-3.htm 清除病毒。

防治这种病毒： http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.removal.tool.html

Idonotknow · 发表于 2001-7-26 17:32

忘了提醒大家:
1、对Windows系统不精通的,不要私自更改注册表！！
2、更改注册表之前最好讲注册表备份。
3、本文只提供一种手工应急方法。建议最好还是杀毒软件来对付它。
4、对此带来的任何后果，概与俺无关。

Idonotknow · 发表于 2001-7-26 17:14

其实没有宣传的那样厉害,俺都中了2次了,没发现有什么不同的感觉.

主要危害：

1、群发邮件，选择随机文档附加在你的机器的通讯簿的随机地址进行发送
2、删除硬盘文件，特别注意：删除的条件是你的机器使用“日/月/年”的日期格式
3、每一次启动都在你的硬盘上写数据，直到塞满硬盘
4、泄漏机密：随机将你硬盘上的文件附加进邮件发送

手工删除步骤：

1、清空回收站，因为Sircam.sys文件将隐藏在回收站中
2、在DOS模式下打开Autoexec.bat文件，如果有如下字段则删除"@win \recycled\sirc32.exe"
3、更改注册表
3.1 将regedit.exe 改名为 regedit.com 因为此种病毒在每运行一次exe文件的同时都会发作一次
3.2 进入dos模式，键入"copy regedit.exe regedit.com"。
3.3 回到windows模式，进入注册表编辑器，查找主键： HKEY_CLASSES_ROOT\exefile\shell\open\command 删除其原有键值，并将其键值改为 "%1" %*
3.4 查找主键 HKEY_LOCAL_MACHINE\Software\SirCam 并将其删除
3.5 查找主键 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 在其右侧的面板中，如果有 Driver32. 则坚决删除