小心！“See you later. Thanks”他是Sircam(思坎)病毒

作者：李祥

您好
----------------------------------------------------------------
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
----------------------------------------------------------------

以上是感染 Sircam 病毒所發信內容，這隻 Sircam(思坎) 病毒發作日期是10月16日……

各位應該收到過吧？這封信件還有附加檔，有不少老實人真的去執行附加檔案導致中毒。如果你受此病毒所困擾，其實此病毒應該不是對方故意要將附檔寄給你的，而是對方中毒後，在不知情的狀況下自動將附檔寄給通訊錄名單中的人……

▽ Sircam思坎病毒小檔案：
郵件主旨：不固定
附加檔案：不固定，但與郵件主旨同名
郵件內容：英文或西班牙文，英文版本如下：

----------------------------------------------------------------
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
----------------------------------------------------------------
或
----------------------------------------------------------------
Hi! How are you?
I hope you can help me with this file that I send
See you later. Thanks
----------------------------------------------------------------
或
----------------------------------------------------------------
Hi! How are you?
This is the file with the information that you ask for
See you later. Thanks
----------------------------------------------------------------
等等

病毒的影響：
每年的10月16號將有可能發作，發作後它會刪除儲存在電腦裏的所有檔案。

在此次 Sircam思坎病毒發作事件中，可以稍稍放心的是Windows NT/2000作業系統的使用者，因為此病毒目前尚不能在Windows NT或Windows 2000下複製其自身。大家可以在Symantec的網站上找到有關此病毒的詳細資訊，位址是：
http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.html，為了方便香港用家，華通翻譯了其中有關如何移除此病毒的部分，供各位參考。

▽移除此病毒
1. 執行LiveUpdate以取得最新的病毒定義檔案，也可以到
　　http://www.symantec.com/avcenter/defs.download.html下載。
2. 開啟Norton AntiVirus(NAV)，執行一趟完整的系統掃描，在此之前，請先設定NAV為掃描所有檔案。
3. 刪除所有感染了W32.Sircam.Worm@mm病毒的檔案。

▽清空回收筒中的所有檔案
在資源回收筒上按一下滑鼠右鍵，從跳出的快捷選單中選「清理資源回收筒」。如果你能夠在「Windows檔案總管」中找到檔案C:\recycled\Sircam.sys，你也可以直接刪除此檔案。

▽編輯Autoexec.bat檔案：
1. 點選「開始」選單之「執行」項。
2. 在「執行」對話方塊的「開啟」文字列，輸入以下文字並按[確定]鈕：edit c:\autoexec.bat
　可見到「MS-DOS Editor」視窗。

3. 如果Autoexec.bat中包含有「@win \recycled\sirc32.exe」則刪除此行文字。
4. 用滑鼠點選「MS-DOS Editor」程式的「File」→「Save」選單項。
5. 點選「File」→「Exit」選單項，退出「MS-DOS Editor」程式。

▽編輯登錄資料庫：
一般使用者在Windows中開啟登錄編輯器程式REGEDIT.EXE進行編輯。
1. 選按「開始」→「執行(R)...」選項，在「開啟(O)」文字區，鍵入:“REGEDIT.EXE”。
2.按 [確定] 鈕，登錄編輯器程式REGEDIT.EXE會自動彈出。
3.小心進行如下四處修改：

1). 在「登錄編輯器中」找到並選取下列機碼：
HKEY_CLASSES_ROOT\exefile\shell\open\command

[注意事項]
在HKEY_CLASSES_ROOT機碼下包含許多子機碼，分別指向對應的副檔名，請務必找到正確的機碼。不要修改HKEY_CLASSES_ROOT\.exe機碼。
如下【圖一】所示，請修改HKEY_CLASSES_ROOT\exefile\shell\open\command機碼：

1.gif (1862 bytes)

2). 在右邊窗格的「(預設)」值上按兩下滑鼠左鍵，可見到「編輯字串」對話方塊。
3). 刪除目前的設定值，並輸入"%1" %*，也就是依次輸入：雙引號-百分號-1-雙引號-空格-百分號-星號。

[注意事項]
登錄編輯器會自動在輸入的值前後加上雙引號，當你按照上面的指引輸入之後，按[確定]鈕，「「(預設)」」值實際上會顯示為：""%1" %*"。

4). 請務必刪除此機碼中原有的資料並按照上面的指引輸入正確的資料。如果不小心在此字串值的開始處留下了一個空格字元，將導致作業系統無法開啟執行程式檔案，當你執行任何.EXE執行檔時，Windows會顯示類似「Windows cannot find .exe.」或「Cannot locate C:\ <path and file name>.」的資訊。

5). 在「登錄編輯器中」找到並選取下列機碼：
HKEY_LOCAL_MACHINE\Software\SirCam

[注意事項]
你一定要找到並選取正確的SirCam機碼，選中後類似下【圖二】所示：

6). 如上圖所示選中此機碼後，按[Delete]鍵，將其下的所有機碼刪除，此機碼僅由Sircam病毒程式使用，因此刪除它不會有甚麼問題。

7). 在「登錄編輯器中」找到並選取下列機碼：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

8). 在右邊的窗格，尋找並選取設定值「Driver32」。

9). 選定後按[Delete]鍵，見到「確認刪除值」對話框後按[是]按鈕即可。

▽ 金山公司免費發放殺毒程式
如今中國的一些軟件公司在技術研發上已經能夠與國際大公司抗衡，以今次Sircam思坎病毒爆發為例，國內殺毒軟體「金山毒霸」的研發商金山公司就能夠迅速在其防病毒專用網站上發布了免費的Sircam思坎病毒殺毒程式。此程式使用方便，只需按一下滑鼠就可清除電腦中感染了病毒的檔案。各位使用者可以由金山公司網站http://antivirus.kingsoft.net/下載此程式，香港電腦用家也可以按此由華通Web伺服器下載，檔案長度79.5KB。

使用此程式清除SirCam病毒的步驟：

1). 直接執行下載的檔案Duba_Sircam.EXE，然后在「Scan Path」設定清除欲SirCam病毒的路徑，按[Start Scan]開始清除。預設情況下，在檢查硬磁碟機上的檔案之前，Duba_Sircam會先檢查記憶體中是否存在SirCam病毒，如果存在，則會先清除記憶體中的病毒（如果記憶體中被感染多份SirCam，此過程也許稍慢）。

2). 隨后，程式將根据使用者選擇的路徑執行清除工作，對使用者選擇的路徑下所有的檔案進行查毒，並自動清除所找到的SirCam病毒。

3). 掃描步驟結束後，SirCam病毒就從您的電腦里徹底被清掃出去了。

[自言自語]
此次Sircam思坎病毒爆發來勢洶洶，以筆者的經驗，此病毒對香港電腦用家的影響比「愛蟲(ILoveU)」病毒更甚，在這種情況下如果殺毒軟件公司光想如何賺錢而不為控制病毒傳播出力，是目光短淺的行為。金山公司能夠免費發放殺毒程式，讓我們對中國軟件業的前途多了一份希望...

▽ 祝君平安無事
新病毒Sircam最近在網路上蔓延，災情有逐漸擴散之勢，有人一天到陸陸續續收了快100MB此類的信信箱爆掉。思坎病毒雖剛現身不久，卻已迅速竄升至全球十大病毒排行榜的第三名中港台等地皆有感染災情傳出，後續威脅力值得注意。

可以設定過濾條件讓它在檢查信件時自動刪除特定郵件。相信這個方法應該對於數據機用戶有相當大的幫助。

[返回上頁]

最佳螢幕顯示：800x600，請使用IE4.0瀏覽器瀏覽，E-Mail：cccltd@cccl.com.hk