word文档变成exe

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

I-WORM/SirCam病毒的特点:

该病毒又名为:斯卡姆、贴先生、粘兄,该病毒都是贴在文件前向外传播的。

I-WORM/Sircam是一个通过EMAIL来传播的INTERNET网络蠕虫程序,其Email的名字是随所随带的文挡的名字而变化的。

该病毒目前有A,B,C,
共3个变种,而不是一种,其病毒的主体长度是:137216、139264、143360字节,病毒贴在泄密的文档前,其总长度大于病毒长度。

它传播自身的同时,也要大量将用户的DOC、XLS、ZIP文档的前部贴上病毒体后再通过互联网到处乱发,已有相当多的文档被泄密。

信件的主题:(随机的,和邮件附件的文件名称一致,显然附件的文件名称是随机获得的)信件的主体:(如果你收到类似的信件的话,请注意)。

Hi! How are you? (嗨,您好!)

I send you this file in order to have your
advice(我将此文件发送给您,想听听您的意见)

See you later.Thanks (再见!谢谢)

注:该网络蠕虫本来想从以下的几种中选择中间的那句话的:

1)I send you this file in order to have your
advice我将该文件发送给您,想听听您的意见。

2)I hope you can help me with this file that I send我想请你帮帮我发送的文件。

3)I hope you like the file that I sendo you希望您喜欢我给您发送的文件

4)This is the file with the information that you ask for这是您要的信息文件

但是实际上只能是第一种选择。

信件的附件:和主题一样,只不过加上了双扩展名。实际上该网络蠕虫的扩展名称可能是:"IF",
"LNK", "BAT", "EXE" 或"COM"
五种中的任意一种;

该病毒的传播能力极其强大,只要是网络服务器上的个人电子信箱的地址被病毒获取,病毒就往信箱内跑,它不是跑进一个病毒体,而是将染毒机器中所有的DOC、XLS、ZIP文档的前部贴上病毒体后再全跑进去,当某部计算机被传染后,病毒再以同样的方式向外传播,因此,病毒按指数方式不断的在网络上疯狂传播,短期内可形成了巨大的病毒潮涌,严重的堵塞了网络的流通,使相当多的网站和网络通信中断服务。

病毒的特性:

当用户打开附件时候,该网络蠕虫程序对系统的注册表增加两项:

(1)HKEY_CLASSES_ROOT\exefile\shell\open\command\Default ,将其数值修改为:

c

:\Recycled\SirC32.exe "%1" %* ;

显然文件:SirC32.exe被拷贝到目录c:\Recycled下,使得所有的EXE文件的执行都必须有文件SirC32.exe(网络蠕虫)文件的支持。

在这一点上和“美丽公园”病毒相似,只不过那时的名称是:files32.vxd.

(2)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices\Driver32
,使其数值为c:\windows\system\SCam32.exe.

这个注册表项目的修改,使得系统每次启动后,都能自动执行该网络蠕虫程序的主体部分,该部分在WINDOWS的SYSTEM目录下SCam32.exe.

当注册表修改成功后,该网络蠕虫程序利用自己的特殊的SMTP(发送邮件协议)来给WINDOWS的地址薄里和用户的临时的INTERNET文件夹的所有人(也就是CACHE目录下)发送该网络蠕虫程序本身。

该网络蠕虫程序从“我的文档”的文件夹中,找到DOC、XLS、ZIP等文件名称,该网络蠕虫程序在这些文件的前面依附上自身,并将结果保存在系统的回收站中,并给这些文件又加上如上说的5种扩展名称,使得网络蠕虫的传播时就变成了双扩展名称了。

和某些可以在网络邻居上进行传播的病毒一样(比如常见的FUNLOVE4099病毒),如果该病毒发现存在可以读写的网络邻居的话,它就会将自身拷贝到WINDOWS的目录下,并且将文件的名称修改成为rundll32.exe
,而WINDOWS下的原来的文件名称被修改成run32.exe ,同时也存在该目录下。

如果修改成功的话,系统的自动批处理文件autoexec.bat也会被修改,使得每次系统启动,该网络蠕虫程序都会被执行。

该网络蠕虫程序中,保存着以下的加密字符串:

[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

[SirCam Version 1.0 Copyright 2001 2rP Made in / Hecho en -
Cuitzeo,Michoacan Mexico]

该网络蠕虫的破坏作用:

1 如果受感染的机器上的日期的格式是:日/月/年的话,那么在每年的10月16日该网络蠕虫程序会将C盘上的所有文件以及目录删除,
但只有百分之五的可能将C盘所有文件和目录都删除。

2
在执行8000次后,触发添写硬盘空间的功能(将硬盘的剩余空间添满)。百分之二的可能填满C盘的空间,通过的方式是将C盘的回收站目录RECYCLED的sircam.sys文件中增加TXT文本。

注意:由于程序含有BUG,极少可能出现删除文件和填空硬盘空间的现象。

3 该蠕虫程序感染机器中(Document)的文档, 病毒程序依附在文件的前面,并发送出去。


4
如果被病毒传染的文件中含有FA2字符,该字符后面没有sc字符的话,那么,一执行该染毒文件,病毒就会删除系统所在硬盘所有的文件和目录。

清除步骤:

1 启动硬盘,修改上述注册表项:

2 将WINDOWS子目录内的REGEDIT.EXE的扩展名改为COM,成为文件 ;

3 在WINDOWS“开始”栏内,运行,删除:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices删除
其中的名称为Driver32的键值,该键值的值是:Scam32.exe (前面还有WINDOWS的安装目录);

HKEY_CLASSES_ROOT\exefile\shell\open\command\(default)

HKEY_LOCAL_MACHINE
\Software\Classes\exefile\shell\open\command\(default)

这两者必须修改成为系统的原来的数值:"%1" %*

而该病毒增加的数值:

HKEY_LOCAL_MACHINE\Software\SirCam 必须整个删除;

一般在该项目下面会含有以下的数值:

FB1B/FB1BA/FB1BB/FC0/FC1/FD1。

其中的FB1BA存放的是SMTP的IP地址;

FB1BB存放的是发送者的EMAIL地址;

FC0是该网络蠕虫程序被执行的次数;

4 对于网络邻居的计算机的感染,可以在受感染的计算机上的文件

\windows\run32.exe必须改名为rundll32.exe;

同时删除系统的autoexec.bat文件中的增加的项目:

删除:@win \Recycled\SirC32.exe ;

同时将在系统回收站中的文件SirC32.exe删除。

5 使用干净DOS软盘启动机器。

6 执行KVD3000.EXE或KV3000.EXE, 查杀所有硬盘,查到部分有毒文件时会先问你要删除吗?请按“Y”键删除病毒体。

7 KV3000清除带毒的DOC、XLS、ZIP文件后,用户应再将文件原来的扩展名改回去。

8 删除所有报告为I-WORM/SIRCAM.A的网络蠕虫程序,注意必须将系统的“回收站”同时清空。

9 将WINDOWS目录下的改名称为REGEDIT.EXE.重新启动计算机。

10 对于用户信箱中的该网络蠕虫,必须找到该信件,删除该信件,然后压缩所有的邮件夹;

相关文档
最新文档