发信人: gui8848(尖牙小鬼)
整理人: gui8848(2001-11-14 14:44:27), 站内信件
|
前几日开机,安装了一个无聊的软件,感觉不好,于是立马卸载,奇怪的是无论在添加删除程序中还是使用程序自身提供的删除快捷方式,都会有一个奇怪的提示,内容是删除程序找不到安装记录文件而导致删除操作失败,原因是安装路径“C:\Program”不正确,安装路径明明是“C:\Program Files”,居然被截断了?
凭借熟练的专业英语基础和长期从事安装程序制作的经验,我感觉此事不太正常,病毒?蠕虫?木马?出于自信,我很少安装使用杀毒软件之类的东西,于是只好手动打开注册表察看,安装记录没问题,奇怪!但是在启动服务程序列表HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\RunServices下多了个Scam32.exe,当时想大概是摄像头的驱动程序,但是似乎没必要,毕竟摄像头驱动一般没有开机就驻留的道理,于是试着备份删除,结果重新开机后发现还在,坏了!于是安装NAV2000,结果开机后NAV引擎不能启动,昏倒!忘了NAV应该在无毒的环境下安装了,太心急了。
杀到网上download了AV98(我最欣赏的,一直为没有买他们的正版感到抱歉,共享的东西用多了都习惯的麻木了),奇怪的是下载完后明明没有继续下载可Modem的指示灯还亮着,这下心中稍安,看来蠕虫或者木马的可能性大点,安装AV98(病毒库是8月初的)后发现是“I-Worm.Sircam.c”,果然是蠕虫!!!而且第一个文件是SirC32.exe,并且在Recycled目录下,可我的回收站是空的啊,够歹毒的,怪不得我删除了Scam32.exe并且查找修改了
相关记录都没用呢,感情留了个后手,下面是记录文件avw98mon.txt
C:\RECYCLED\SirC32.exe Found I-Worm.Sircam.c 已删除
C:\RECYCLED\sirc32 Found I-Worm.Sircam.c 已删除
C:\RECYCLED\REPORT.xls.pif Found I-Worm.Sircam.c 已删除
C:\RECYCLED\简历.doc.com Found I-Worm.Sircam.c 已删除
C:\RECYCLED\REPORT.xls.lnk Found I-Worm.Sircam.c 已删除
C:\RECYCLED\简历.doc.bat Found I-Worm.Sircam.c 已删除
C:\RECYCLED\简历.doc.lnk Found I-Worm.Sircam.c 已删除
C:\WINDOWS\SYSTEM\SCAM32.EX Found I-Worm.Sircam.c 已删除
C:\WINDOWS\SYSTEM\SCam32.exe Found I-Worm.Sircam.c 已删除
D:\db_s02.exe Found I-Worm.Sircam.c 已删除
D:\基督教对欧洲文明的影响.doc.exe Found I-Worm.Sircam.c 已删除
恍然大悟,几天前北大的一个同学来了封mail给我,好久没联系了,尽管心里有点奇怪,但还是看了看,内容居然是他的毕业论文让我指教,呵呵,我当时看到附件是“基督教对欧洲文明的影响.doc.pif”和“db_s02.doc.pif”,感到比较奇怪,就保存后改了个名,把pif都给去了,但是居然是格式无法识别的乱码(能看到部分内容),就改回原名,结果自动启动word,内容不全,我同学是计算机系的,不至于水平如此差吧?好歹也是马上要出国的硕士,正因为我对他们的课题很有兴趣才看的,可是怎么会只有这点内容?再说查看文件属性也不对啊,于是事情暂时搁置下来;可是没几天又收到女朋友的业务报告,这回是Excel的了,也是差不多的特点;想到这里我明白了,这个病毒应该是使用Script编的,有点宏病毒的味道,应该是通过Outlook之类在通讯簿查找对象传播的,将机内的Word或者Excel文件感染加入病毒体后到处发送,但是由于我使用的是FoxMail才没有传播出去,从执行的角度看应该是执行附件才可以发作感染并进一步复制传播,从pif的后缀名看应该是个特征,难怪我把同一个带毒文件改了几个名都会在回收站中存在呢,当时我明明清空回收站了。
杀毒结束,重新启动后却发现系统启动后反复提示找不到SirC32.exe,而原来任务托盘上的图标一个也没出现,执行程序还需要调用SirC32?联想到Uninstall时的问题我顿时领悟,原来是接管了可执行程序的解释权用来传染,没办法,注册表!结果……提示执行regedit也需要SirC32,我昏倒!不行,绝对不能投降,我冷静了一下,周围没有机器可以对照,不能随便进Dos方式,那就先死马当活马医,我把regedit.exe改成regedit.com,结果……OK!启动,这下更有底了,直奔exefiles的Shell-Command主键,发现了该死的SirC32果然接管了EXE文件的执行大权,我倒!幸亏不随便感染修改EXE文件,我试了试只要把EXE重命名成COM就可以顺利执行,重新启动,正常!我的AV98也正常的启动后,重新查了一遍还不放心,又下载了专门的清除程序sckiller,结果发现其后缀也是COM,呵呵。可惜的是它报告说我机器上没有SirCam,所以不给我清除注册表,我又倒!该程序的基本流程也是清回收站、清Autoexec.bat、清注册表,可惜不够彻底,而且我还真没在autoexec.bat中发现什么,大概有别的变种吧!我又想起伟大的CIH……唉!CIH、FunLove、SirCam,给我留下真实印象的也就这些了。
事后从文件日期看应该是7月25日感染的,好家伙,足足在我机器上待了一星期,好歹结果还是我大获全胜!
结论:SirCam的现象主要是邮件程序异常,主要是Outlook;由于自身不健全,对路径的解析有问题,带空格的长路径会出错;注册表里的异常键值(可以查找SirC32和SirCam等,虽然未必彻底。);
进步:该病毒同时有两个文件的手法比较少见,只清除注册表的手法可不完全管用了,而且另一个文件存在在回收站更是出乎意料。接管EXE的执行解释权更狠毒。其他资料尚未得到。
对付方法:用工具和杀毒软件配合。注意彻底,别忘了修改文件名启动必要的程序。
|
|