word文档变成exe
I-WORM/SirCam病毒的特点:
该病毒又名为:斯卡姆、贴先生、粘兄,该病毒都是贴在文件前向外传播的。
I-WORM/Sircam是一个通过EMAIL来传播的INTERNET网络蠕虫程序,其Email的名字是随所随带的文挡的名字而变化的。
该病毒目前有A,B,C,
共3个变种,而不是一种,其病毒的主体长度是:137216、139264、143360字节,病毒贴在泄密的文档前,其总长度大于病毒长度。
它传播自身的同时,也要大量将用户的DOC、XLS、ZIP文档的前部贴上病毒体后再通过互联网到处乱发,已有相当多的文档被泄密。
信件的主题:(随机的,和邮件附件的文件名称一致,显然附件的文件名称是随机获得的)信件的主体:(如果你收到类似的信件的话,请注意)。
Hi! How are you? (嗨,您好!)
I send you this file in order to have your
advice(我将此文件发送给您,想听听您的意见)
See you later.Thanks (再见!谢谢)
注:该网络蠕虫本来想从以下的几种中选择中间的那句话的:
1)I send you this file in order to have your
advice我将该文件发送给您,想听听您的意见。
2)I hope you can help me with this file that I send我想请你帮帮我发送的文件。
3)I hope you like the file that I sendo you希望您喜欢我给您发送的文件
4)This is the file with the information that you ask for这是您要的信息文件
但是实际上只能是第一种选择。
信件的附件:和主题一样,只不过加上了双扩展名。实际上该网络蠕虫的扩展名称可能是:"IF",
"LNK", "BAT", "EXE" 或"COM"
五种中的任意一种;
该病毒的传播能力极其强大,只要是网络服务器上的个人电子信箱的地址被病毒获取,病毒就往信箱内跑,它不是跑进一个病毒体,而是将染毒机器中所有的DOC、XLS、ZIP文档的前部贴上病毒体后再全跑进去,当某部计算机被传染后,病毒再以同样的方式向外传播,因此,病毒按指数方式不断的在网络上疯狂传播,短期内可形成了巨大的病毒潮涌,严重的堵塞了网络的流通,使相当多的网站和网络通信中断服务。
病毒的特性:
当用户打开附件时候,该网络蠕虫程序对系统的注册表增加两项:
(1)HKEY_CLASSES_ROOT\exefile\shell\open\command\Default ,将其数值修改为:
c
:\Recycled\SirC32.exe "%1" %* ;
显然文件:SirC32.exe被拷贝到目录c:\Recycled下,使得所有的EXE文件的执行都必须有文件SirC32.exe(网络蠕虫)文件的支持。
在这一点上和“美丽公园”病毒相似,只不过那时的名称是:files32.vxd.
(2)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices\Driver32
,使其数值为c:\windows\system\SCam32.exe.
这个注册表项目的修改,使得系统每次启动后,都能自动执行该网络蠕虫程序的主体部分,该部分在WINDOWS的SYSTEM目录下SCam32.exe.
当注册表修改成功后,该网络蠕虫程序利用自己的特殊的SMTP(发送邮件协议)来给WINDOWS的地址薄里和用户的临时的INTERNET文件夹的所有人(也就是CACHE目录下)发送该网络蠕虫程序本身。
该网络蠕虫程序从“我的文档”的文件夹中,找到DOC、XLS、ZIP等文件名称,该网络蠕虫程序在这些文件的前面依附上自身,并将结果保存在系统的回收站中,并给这些文件又加上如上说的5种扩展名称,使得网络蠕虫的传播时就变成了双扩展名称了。
和某些可以在网络邻居上进行传播的病毒一样(比如常见的FUNLOVE4099病毒),如果该病毒发现存在可以读写的网络邻居的话,它就会将自身拷贝到WINDOWS的目录下,并且将文件的名称修改成为rundll32.exe
,而WINDOWS下的原来的文件名称被修改成run32.exe ,同时也存在该目录下。
如果修改成功的话,系统的自动批处理文件autoexec.bat也会被修改,使得每次系统启动,该网络蠕虫程序都会被执行。
该网络蠕虫程序中,保存着以下的加密字符串:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright 2001 2rP Made in / Hecho en -
Cuitzeo,Michoacan Mexico]
该网络蠕虫的破坏作用:
1 如果受感染的机器上的日期的格式是:日/月/年的话,那么在每年的10月16日该网络蠕虫程序会将C盘上的所有文件以及目录删除,
但只有百分之五的可能将C盘所有文件和目录都删除。
2
在执行8000次后,触发添写硬盘空间的功能(将硬盘的剩余空间添满)。百分之二的可能填满C盘的空间,通过的方式是将C盘的回收站目录RECYCLED的sircam.sys文件中增加TXT文本。
注意:由于程序含有BUG,极少可能出现删除文件和填空硬盘空间的现象。
3 该蠕虫程序感染机器中(Document)的文档, 病毒程序依附在文件的前面,并发送出去。
4
如果被病毒传染的文件中含有FA2字符,该字符后面没有sc字符的话,那么,一执行该染毒文件,病毒就会删除系统所在硬盘所有的文件和目录。
清除步骤:
1 启动硬盘,修改上述注册表项:
2 将WINDOWS子目录内的REGEDIT.EXE的扩展名改为COM,成为文件https://www.360docs.net/doc/ad11292490.html, ;
3 在WINDOWS“开始”栏内,运行https://www.360docs.net/doc/ad11292490.html,,删除:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices删除
其中的名称为Driver32的键值,该键值的值是:Scam32.exe (前面还有WINDOWS的安装目录);
HKEY_CLASSES_ROOT\exefile\shell\open\command\(default)
HKEY_LOCAL_MACHINE
\Software\Classes\exefile\shell\open\command\(default)
这两者必须修改成为系统的原来的数值:"%1" %*
而该病毒增加的数值:
HKEY_LOCAL_MACHINE\Software\SirCam 必须整个删除;
一般在该项目下面会含有以下的数值:
FB1B/FB1BA/FB1BB/FC0/FC1/FD1。
其中的FB1BA存放的是SMTP的IP地址;
FB1BB存放的是发送者的EMAIL地址;
FC0是该网络蠕虫程序被执行的次数;
4 对于网络邻居的计算机的感染,可以在受感染的计算机上的文件
\windows\run32.exe必须改名为rundll32.exe;
同时删除系统的autoexec.bat文件中的增加的项目:
删除:@win \Recycled\SirC32.exe ;
同时将在系统回收站中的文件SirC32.exe删除。
5 使用干净DOS软盘启动机器。
6 执行KVD3000.EXE或KV3000.EXE, 查杀所有硬盘,查到部分有毒文件时会先问你要删除吗?请按“Y”键删除病毒体。
7 KV3000清除带毒的DOC、XLS、ZIP文件后,用户应再将文件原来的扩展名改回去。
8 删除所有报告为I-WORM/SIRCAM.A的网络蠕虫程序,注意必须将系统的“回收站”同时清空。
9 将WINDOWS目录下的https://www.360docs.net/doc/ad11292490.html,改名称为REGEDIT.EXE.重新启动计算机。
10 对于用户信箱中的该网络蠕虫,必须找到该信件,删除该信件,然后压缩所有的邮件夹;