| Win32.SirCam.137216是一个通过邮件系统传播的蠕虫病毒, 邮件的内容可能是英文或西班牙文。
如果是英文邮件, 内容如下:
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
其中中间一行还可能是以下几种形式之一:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
如果病毒邮件是西班牙文的,内容如下:
Hola como estas ?
Te mando este archivo para que me des tu punto de vista
Nos vemos pronto, gracias.
同样中间一行还可能是以下几种形式之一:
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informaci que me pediste
病毒所携带的附件的名字是变化的,文件将带有双扩展名,比如 "SCRIPT.DOC.PIF"。其中后一个扩展名还可能是"PIF",
"LNK", "BAT", "EXE" 或 "COM".之一。 邮件的主题将同附件的名称一样,但不带扩展名。病毒附件被激活时,病毒将把自身拷贝到"C:\RECYCLED\目录下(文件名称SirC32.ex")和
Windows系统目录下(文件名称"SCam32.exe")。
该病毒还修改注册表的以下键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Driver32="\SCam32.exe"
HKEY_CLASSES_ROOT\exefile\shell\open\command=""C:\recycled\SirC32.exe"
"%1" %*"
第一个键值能使蠕虫病毒在每次WINDOWS启动时都被运行,第二个键值能使病毒在用户运行任何EXE程序时被运行。
这个蠕虫从"我的文挡"文件夹中选择一个DOC或XLS或ZIP文件,将被选中的文件粘在病毒文件后,然后将合并后的文件附加上第二个扩展名(前面提到的扩展名之一)后保存到"回收站"文件夹中。这个文件将被病毒用来向其它EMAIL地址发送。
重复以上方法,病毒可能创造多个病毒副本,并向WINDOWS的地址薄中和INTERNET缓存中能找到的所有邮箱地址发送, 同一个邮件地址可能发送多个病毒附件。 |
