小心病毒程序名的“中国化” 张鸣 2001年 31期 编者按:网络使病毒如虎添翼,如今病毒程序的隐蔽性愈来愈深、破坏力愈来愈强、智能化愈来愈高、传播速度愈来愈快。目前W32.Sircam(“齿轮先生”──金山毒霸命名)网络病毒的泛滥使得很多网友苦不堪言,再加上病毒程序名的中国化更让国人防不胜防。因此大家在上网接收邮件时一定要注意,千万不要因为一时好奇而让它走进我们的“生活”。   #1病毒特征   邮件主题为“~$考试复习提纲”(名字变形可以千奇百怪),内容是“Hi!How are you?I send you this file in order to have your advice.See you later. Thanks.”,邮件中还带有附件,附件名为“~$考试复习提纲.doc.pif”(后缀名也存在很多种变形),邮件附件大小为137KB。虽然已经得知W32.Sircam蠕虫病毒正在网上传播,而且特征就是邮件正文中有“Hi!How are you?……”之类的文字同时带有附件,但媒体并没有介绍过此病毒会有中文名。   #1以身试毒   使用一台快报废的电脑进行测试。运行此程序以后,电脑发生了很多奇异的现象。首先,在试验发信时,通讯簿中的邮箱(当然通讯簿中只有一个测试邮箱──自己的)会发送一封带有附件程序的邮件(程序名与邮件主题相同)。其次,每次启动计算机,硬盘上的空间明显减少。当把时钟调整到10月16日,此时C盘上的所有文件以及目录被删除。   #1预防病毒   由于W32.Sircam属于激活式病毒,运行需要依靠用户点击(这点与“欢乐时光”相比显得差一些),因此要预防W32.Sircam只须注意以下几点便可。   一、不要轻易打开来路不明的电子邮件附件程序。   二、不要轻易打开两个或两个以上扩展名的附件。   三、不要轻易打开以中文命名的附件程序。   四、不要打开含有“Hi! How are you?……”内容邮件的附件,这点切记!   五、建议将与注册表有关的系统文件设为只读,如system.ini,win.ini,user.dat,system.dat和regedit.exe等。(2001年29期《电脑报》D6版有具体介绍)   #1检测病毒   检测自己的电脑是否感染上W32.Sircam病毒最好的方法是如上文中试验一样,通讯簿中应该只有一个测试邮箱,否则后果不堪设想。当然,你还可以通过检查注册表来寻找它的踪迹。   一、查看“HKEY_CLASSES_ROOT\Exefile\Shell\Open\Command”目录下的默认字符串键值““%1”“ %*””是否被修改为键值“c:\Recycled\SirC32.exe “%1”“ %*””。   二、检测“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices”目录下是否有键值“c:\windows\system\SCam32.exe”的存在。   (若有上述症状的话,说明你的电脑已经感染了W32.Sircam)   三、每次启动电脑时查看一下硬盘空间是否自动在减少,因为W32.Sircam有个特征那就是会把硬盘写满,所以时时留心硬盘空间也是一个比较好的方法。   #1杀除病毒   一、电脑高手法(此法主要适用于经常备份注册表的电脑用户)   1.去除所有文件的隐藏属性,查找并删除“SirC32.exe、SCam32.exe”。   2.在DOS状态下用“regedit/c路径:文件名”命令完全替代原注册表内容。(“regedit/c”的功能是:先删除原注册表内容,再写入备份注册表内容。当然,用此命令前须保证备份的注册表是干净的,完整的)   3.清空回收站。   4.删除autoexec.bat与config.sys两文件中的所有内容。   二、普通用户法(此法适用一般用户)   1.使用杀毒软件。   2.把注册表“HKEY_CLASSES_ROOT\Exefile\Shell\Open\Command”目录下的内容还原成字符串键值““%1”“ %*””。   3.清除注册表“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices”目录下的内容。   4.清空回收站。   5.删除autoexec.bat与config.sys两文件中的所有内容。   后话:在写此文时笔者又收到了一封带有“王驰先生:你好.doc.pif”附件程序的邮件,它仍旧是W32.Sircam病毒的变种。