1 2 下一页 一种首发于英国的恶性网络蠕虫I-WORM/Sircam病毒已经在国内开始肆虐,国家反病毒应急处理中心成员单位、北京江民公司两天内接到告急用户近百个。江民公司著名反病毒专家王江民告诫广大上网用户,一旦染上该病毒,将导致大量文件被删除,他提醒广大用户尽快升级最新版反病毒软件KV3000,并开启KVW3000病毒实时监测防火墙,可有效防范该病毒的侵犯。
据介绍,I-WORM/Sircam病毒的特点如下:
病毒的主体长度是:137216字节,其Email附件长度有的大于此长度。
I-WORM/Sircam是一个通过EMAIL来传播的INTERNET网络蠕虫程序,其Email的名字是随机变化的。它传播自身的同时也要传送用户的文档,在一定程度上可造成泄密;
信件的主题:随机的,和邮件附件的文件名称一致,显然附件的文件名称是随机获得的;
信件的主体:(如果你收到类似的信件的话,请注意)。
“Hi! How are you? ”(嗨,您好!)
I send you this file in order to have your advice。
(我将此文件发送给您,想听听您的意见)
See you later。Thanks 。(再见!谢谢)
注:该网络蠕虫本来想从以下的几种中选择中间的那句话的:
(1)I send you this file in order to have your advice
我将该文件发送给您,想听听您的意见。
(2)I hope you can help me with this file that I send。
我想请你帮帮我发送的文件。
(3)I hope you like the file that I send to you。
希望您喜欢我给您发送的文件
(4)This is the file with the information that you ask for。
这是您要的信息文件。
但是实际上只能是第一种选择。
信件的附件:和主题一样,只不过加上了双扩展名。
实际上该网络蠕虫的扩展名称可能是:“PIF”, “LNK”, “BAT”, “EXE” 或“COM” 五种中的任意一种;
病毒的特性:当用户打开附件时,该网络蠕虫程序对系统的注册表增加两项:
(1)HKEY_CLASSES_ROOT\exefile\shell\open\command\Default ,将其数值修改为:
c:\Recycled\SirC32.exe “%1”“ %*” ;
显然文件SirC32.exe被拷贝到目录c:\Recycled下,使得所有的EXE文件的执行都必须有文件SirC32.exe(网络蠕虫)文件的支持。
在这一点上和“美丽公园”病毒相似,只不过那时的名称是:files32.vxd。
1 2 下一页 |
