SIRCAM,
znany także jako SCAM.A, SIRCAM.A, TROJ_SCAM.A, W32.Sircam.Worm@mm, rozmiar
137216 bajtów
Złożony kod wirusa-robaka napisano w języku Delphi. Przychodzi jako załącznik
wraz z pocztą email. Załącznik posiada dwa rozszerzenia: np. Nazwa.EX1.EX2.
Nazwa.EX1 jest losowo wybranym plikiem, pochodzącym z folderu
zainfekowanego użytkownika, EX2 może być typu LNK, EXE lub PIF. Oto
jak może wyglądać feralna wiadomość:
Temat:
(losowo wybrany, zazwyczaj taki jak załącznik)
Wiadomość: (treść hiszpańska lub angielska)
Hi ! How are you?
I send you this file in order
to have your advice,
lub
I hope you can help me with this file that I send,
lub
I hope you like the file that I send you,
lub
This is the file with the information that you ask for
See you later. Thanks
Załącznik: plik losowo pobrany z komputera
nadawcy, zawierający kopię wirusa.
Czujność odbiorcy powinna
pobudzić także wiadomość napisana w języku hiszpańskim.
Po uruchomieniu załącznika wirus tworzy ukryty plik SCAM32.EXE
zlokalizowany w katalogu systemowym Windows oraz SIRC32.EXE składany w
folderze Recycled. Modyfikowane są także rejestry w HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServicesDriver32= "%systemdir%\Scam32.exe"
oraz
HKCR\exefile\shell\open\command='""C:\Recycled\SirC32.exe"
"%1"%*"
Dzieki czemu kod wirusa
uruchamiany jest przy restarcie systemu oraz uruchomieniu programu .EXE.
Dodatkowo tworzony jest rejestr:
HKLM\Software\SirCam
który zawiera różnorodne
informacje, np. FB1BA określa URL do jednego z serwerów SMTP, FC0 - ile razy
robak może być uruchomiony, FB1BB - adresy email, itd.
Jak wspomniano, wirus
rozprzestrzenia się wykorzystując pocztę email. W tym celu wyszukuje pliki
zawierające adresy, np. Windows Address Book (WAB) i HTM. Dołączone
do programu wirusa pliki mogą posiadać rozszerzenia DOC, XLS, ZIP, a
pobierane są z folderu wyspecyfikowanego w poniższy sposób:
HKCU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders, Personal
Ścieżka dostępu i nazwa pliku
umieszczana jest w SCD.DLL, wykorzystane adresy email w SC??.DLL (np.
SCI1.DLL oraz SCW1DLL). Pliki te są zachowywane w katalogu systemowym
Windows. Wirus wykorzystuje zestaw poleceń SMTP. Usiłuje połączyć się ze
stosownym serwerem i przesłać zainfekowaną pocztę. Jeśli połączenie nie
dojdzie do skutku, ma w zanadrzu jeszcze trzy dodatkowe adresy innych serwerów.
Taki tryb działania umożliwia skuteczne skuteczne ukrycie faktu masowgo wysyłania
przesyłek.
Zagrożone są także wszystkie udostępnione zainfekowanemu użytkownikowi
napędy. Kopiowane są nań
plik SIRC32.EXE oraz modyfikowany jest AUTOEXEC.BAT, do którego dołączany
jest wiersz:@win \recycled\Sirc32.exe. Kod wirusa trafia także do współdzielonych
folderów jako RUNDLL32.EXE i uaktywnia się po ponownym zrestartowaniu
systemu (ten typ ataku nie dotyczy komputerów z systemem Windows NT).
Skutkiem działania wirusa może być utrata wszystkich plików i folderów
systemu Windows.
Jak usunąć ?
1. W pierwszej kolejności odciąć
komputer od sieci.
2. Zmienić nazwę REGEDIT.EXE na REGEDIT.COM
3. Uruchomić REGEDIT i wskazując ścieżkę
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices usunąć Driver32
(wskazywany w prawym panelu)
4. Usunąć SirCAM (scieżka HKEY_LOCAL_MACHINE\Software\SirCam)
5. Odnaleźć: HKEY_CLASES_ROOT\exefile\shell\open\command, wybrać i
zmodyfikować wartość domyślną (Default), zmienić
"C:\Recycled\SirC32.exe""%1"%*" na "%1%",
czyli inaczej usunąć SirC32.exe z katalogu C:\Recycled\
6. Zmienić atrybut Hide i usunąć SCAM32.EXE z katalogu systemowego oraz
SIRC32.EXE z C:\Recycled
7. Wyjść z REGEDIT.
Edytować AUTOEXEC.BAT i jeśli
występuje usunąć "@win \recycled\Sirc32.exe".
Trend Micro udostępnia także stosowne narzędzie: fix_sircam.com,
które usuwa rezydujący w pamięci kod trojana, kasuje pozostawione przezeń
pliki, porządkuje rejestry, skanuje zasoby komputera. Narzędzie działa z
Windows NT, 2000, 9X. fix_sircam uruchamia się z opcjami: /A -
automatyczne usunięcie trojana, /S - bez skanowania podkatalogów, /N - bez
skanowania zasobów, jedynie porządkowanie rejestrów.
Wirus jest także wykrywany przez programy Trend Micro
- należy wykasować wszystkie pliki zidentyfikowane jako TROJ_SIRCAM.A.
Pomocny może także okazać się internetowy skaner HouseCall.
Opracowano na
podstawie materiałów Trend Micro
© 2001 Trend Micro Incorporated. All Rights Reserved
