NETTARKIV

Informasjon om dataviruset Sircam

7. aug. 2001 - 15:37

Ormen, som først ble funnet i USA den 17. Juli, har nå spredt seg globalt, og har blitt rapportert funnet i Asia, Sør-Amerika, India og Europa. Nord-Europa og Skandinavia har ikke hatt stor omfang av denne ormen, antagligvis grunnet gjeldende ferietid. Det er derfor mulig at vi får en oppblomstring av denne ormen, når ferien er over.

Når en Sircam infisert e-post åpnes, vises en fil som viruset er lagt ved i mailen, denne filen er kopiert fra avsenderens harddisk. Filen åpnes med et program som er assosiert med filen ekstensjon (.DOC, .XLS, .ZIP). Dette skjuler ormens effektivitet. Mens mottakeren leser gjennom dokumentet, infiseres systemet.

Ormen sprer seg automatisk til e-postadresser fra mottakerens adressebok i windows og legger seg til et tilfeldig dokument som blir valgt fra mappen "My Documents". Meldingen som sendes ut er enten på spansk eller engelsk.

"-Dette er den første e-post ormen som ikke er spesifikk for Microsoft Outlook, sier virus-eksperten John Schrøder hos PDI Consult A/S. Isteden kan ormen benytte seg av alle e-postsystemer. Det gjør den mer egnet til å spre seg videre."

Ormen har to funksjoner. 16. Oktober kan ormen slette hele harddisken der Windows er installert. Eller så kan den, uavhengig av dato, fylle harddisken med informasjon, der Windows er installert. Ormen kan også ut utnytte utdelte mapper på nettverket for å spre seg videre på det lokale nettverket.

Navn : Sircam

Alias : I-Worm.Sircam, W32.Sircam, W32/SircCam

Sircam er en e-post orm som har muligheten til å spre seg via utdelte nettverksmapper. Ormen er 137216 bytes stor. Men når den kommer som en vedlagt fil i en e-post, er den større grunnet det dokumentet som er vedlagt.

Når ormen startes på et rent system, kopierer den seg selv til flere steder med ulike navn:

1. Ormen kopierer seg som "SirC32.exe" til \Recycled\ mappen. Det vil si papirkurven. Standard verdien for EXE filer i registeret:

[HKEY_CLASSES_ROOT\exefile\shell\open\command]

er endret til ""[Windows enhet]\recycled\SirC32.exe" "%1" %*"

2. Ormen kopierer seg selv som "SCam32.exe" i system katalogen. Ormen forsøker så å lage en autostart nøkkel for denne fil i registeret for å startes når Windows lastes :

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] "Driver32"="\SCam32.exe"

3. Ormen kopierer seg selv som "rundll32.exe" til Windows katalogen. Den originale "Rundll32.exe" blir døpt om til "Run32.exe". Kopien eksisterer kun om datamaskinen har blitt infisert via utdelte nettverksmapper.

4. I blant (1 av 33 tilfeller) plasserer ormen seg i Windows katalogen med filnavnet "ScMx32.exe". Sircam legger også en ytterligere kopi i den innloggede brukers Autostart/Startup folder med navnet "Microsoft Internet Office.exe". Ormen starter da når brukeren logger seg på datamaskinen.

Når en Sircam infisert e-post åpnes, vises det dokumentet som ble tatt fra avsenderens datamaskin. Filen vises med det assosierende programmet med hensyn til filens ekstensjon:

.DOC - Winword.exe

.XLS - Excel.exe

.ZIP - Winzip.exe

Dette skjuler ormens aktivitet på en effektiv måte. Når brukeren forsøker å lese dokumentet, blir systemet infisert.

Sircam benytter seg av Windows Adress Book, for å hente e-post adresser (*.WAB filer). Sircam forsøker til og med å lete etter e-post adresser i \Temporary Internet Files mappen (sho*, get*, hot*, *.html filer). Om brukeren har en fungerende e-post konto, leser ormen dens innstillinger. Ellers brukes [brukernavn@prodigy.mx.net som avsender, og prodigy.mx.net som e-post server. Ormen har egen SMTP motor, og sender ut post med hjelp av den.

Ormen samler sammen en liste med visse ekstensjoner (.DOC, .XLS og .ZIP) i falske DLL filer kalt "sc*.dll". Ormen kommer senere til å sende ut noen av disse dokumentene som den fant i brukerens "Mine Dokumenter" mappe.

E-posten som sendes ut, har dette oppsettet :

Fra: [bruker@adresse]

Til: [bruker@adresse]

Emne: [Dokumentnavnet uten ekstensjon]

Hi! How are you?

I send you this file in ordet to have your advice

eller

I hope you can help me with this file that I send

eller

I hope you like this file that I sendo you

eller

This is the file with the information you asked for

See you later. Thanks

Om datamaskinens system er innstilt på spansk, sender Sircam meldingen på

spansk:

Hola como estas?

Te mando este archivo para que me des tu punto de vista

eller

Espero me puedas ayudar con el archivo que te mando

eller

Espero te guste este archivo que te mando

eller

Este es el archivo con la informacion que me pediste

Nos vemos pronto, gracias

Den vedlagte filen har navnet til det valgte dokumentet med en dobbelt-ekstensjon som .DOC.EXE, .XLS.PIF. Ormen bruker .COM, .BAT, .PIF og .LNK som en andre ekstensjon, siden disse filene er kjørbare. Ettersom ormen kan ta hvilket som helst av brukerens dokument, kan det stå i fare for å sende ut konfidensiell informasjon.

Sircam bruker også delte nettverksmapper for å spre seg. Når den gjør det, samler de informasjon om alle delte mapper på nettverket som er tilgjengelig fra den infiserte maskinen. Om den har muligheten til å skrive til \Recycled\ mappe på noen av de delte mappene, legger ormen inn en kopi av seg selv med navnet "SirCam32.exe". Filen \\[Share]\autoexec.bat blir fylt opp med linjen "@win \recycled\SirC32.exe", slik at neste gang den infiserte maskinen startes opp, blir ormen startet. Ormen kopierer seg også som "rundll32.exe" til windows katalogen på det oppkoblete systemet. Originalfilen "rundll32.exe" blir døpt om til "run32.exe".

Ormen har to payloader. Den 16. oktober kan Sircam i 1 av 20 tilfeller, slette alle filer fra den harddisken som Windows er installert på. Alle andre dager vil Sircam i 1 av 50 tilfeller, fylle opp harddisken som Windows er installert på. Det gjør den ved å opprette en fil \recycled\sircam.sys og kontinuerlig fylle opp denne filen med følgende text-string til disken er full :

[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

eller [SirCam Version 1.0 Copyright 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]

Instruksjoner for å fjerne ormen

Om ditt system er infisert med Sircam, last ned følgende fil og installer den. (Ved å dobbelt-klikke på den)

ftp://ftp.europe.f-secure.com/anti-virus/tools/sirc_dis.reg

Dette kommer til å fjerne Sircams verdier i registeret.

ADVARSEL! Systemet kan bli ustabilt om du forsøker å fjerne Sircam uten å kjøre nevnte fil først.

Etter at du har startet sirc_dis.reg kan systemet desinfiseres med en oppdatert versjon av F-Secure Anti-Virus. Om det ikke går å rense alle infiserte filer på grunn av at de kan være låst av systemet, start maskinen i DOS og benytt et DOS-basert anti-virus program, f.eks F-Secure Anti-Virus for DOS. Alle filene som ormen benytter seg av, må fjernes eller gis et nytt navn.

Om en arbeidsstasjon har blitt infisert via delte nettverksmapper, må filen \windows\run32.exe døpes om til rundll32.exe etter desinfisering.

Forhindre infeksjon via nettverket:

Om et nettverk er infisert, og det ikke er mulig å ta ned alle arbeidsstasjoner fra nettverket, kan følgende metode brukes for å forhindre videre spredning:

I \Recycled\ mappen på den harddisken hvor Windows er installert, opprett en fil som heter Sirc32.exe og gjør den til "Skrivebeskyttet".

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.