SIRCAM - НОВЫЙ ВИРУС С КОММЕРЧЕСКИМ ИНТЕРЕСОМ.
Активно набирает силу "эпидемия" нового компьютерного вируса SirCam, который ставит под угрозу коммерческие тайны. Всего за шесть дней с момента его обнаружения – 18 июля 2001 г. – сетевой червь распространился по всему миру и занял первое место в списке наиболее распространенных вредоносных программ. Он уже подмял под себя тысячи серверов и домашних компьютеров во Франции, США, Канаде, Китае, России, Испании, Индии, Великобритании, Германии, Польше, Италии, Турции, Аргентине и многих других странах. Появившись в начале недели в США, червь нанес немалый ущерб компьютерным сетям ведущих транснациональных компаний. Вред от него оказался особенно значительным, поскольку эксперты не смогли вовремя распознать его коварные свойства. Распространяется вирус самым традиционным способом - по электронной почте. Файл-носитель червя не имеет постоянного названия, расширения и текста письма. SirCam рассылается с зараженных компьютеров якобы от имени их владельцев. Для этого он, незаметно для пользователя, фабрикует поддельные электронные письма и рассылает их по всем адресам, найденным в зараженном компьютере. Такое непостоянство внешних признаков заставляет многих пользователей поверить в подлинность и безопасность присылаемых файлов. Ни о чем не подозревая, они запускают полученные файлы на своих компьютерах, тем самым вызывая их заражение. Коварство вируса заключается в том, что он способен "прихватывать с собой" документы, которые обнаружит в памяти компьютера. Таким образом, возникает опасность, что конфиденциальные документы, содержащие коммерческие или личные тайны, могут быть направлены по тысячам посторонних адресов. Также нельзя забывать и о других опасных эффектах SirCam: помимо быстрого поглощения свободного места на диске, он удаляет при каждой перезагрузке компьютера все файлы и поддиректории из директории Windows, с вероятностью 5%. Что касается столь молниеносного распространения сетевого червя, то руководитель информационной службы "Лаборатории Касперского" Денис Зенкин объясняет это так: "SirCam использует те же технологии распространения и проникновения на компьютеры, что и печально известные черви LoveLetter, Melissa и им подобные. Распространенность SirCam подтверждает тот факт, что многие пользователи не извлекли уроков из ранее произошедших глобальных эпидемий. Они до сих пор не придают значения своевременному обновлению антивирусных программ и осторожности при обращении с вложенными файлами, – независимо от их происхождения".
Одним из признаков заражения является наличие следующих файлов на диске
SCD.DLL - содержит список документов, к которым вирус "цепляет" свое тело.
SCH1.DLL, SCI1 . DLL - содержат списки адресов электронной почты, найденных
в сканированных файлах на диске.
SCam32.exe. или ScMx32.exe. само тело вируса.
Эти файлы создаются только при первом запуске вируса.
Описание вируса Win32.HLLW.SirCam
Вирусная программа-червь, поражающая компьютеры под управлением операционных систем семейства Windows. Распространяется путем рассылки своих копий по электронной почте. Кроме того, вирус может распространяться по локальной сети, заражая компьютеры, диски которых являются разделяемыми сетевыми ресурсами, доступными для записи.
По электронной почте Win32.HLLW.SirCam рассылает себя следующим образом.
Адреса для рассылки вирус получает путем сканирования содержимого ряда файлов
зараженного компьютера, в которых с высокой вероятностью можно встретить актуальные
адреса e-mail. Например, это файлы адресных книг Windows, html-файлы и др.
Текст письма может быть на испанском или английском языке и выглядит следующим образом.
В английском варианте:
первая строка:
Hi! How are you?
затем идет строка, случайно выбранная из четырех возможных вариантов:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
последняя строка: See you later. Thanks
В испанском варианте:
первая строка:
Hola como estas ?
затем идет строка, случайно выбранная из четырех возможных вариантов:
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informaciуn que me pediste
последняя строка: Nos vemos pronto, gracias.
В письмо вирус включает себя в виде вложенного файла с произвольным именем и
с двойным расширением. В результате может получиться, например, нечто вроде:
"OTCH992A.doc.com", "ANUNCIOS_PRENSA_2001.xls.pif" и т.п.
В поле темы (subject) письма вирус использует имя вложенного файла; причем
только имя, без расширений.
Имеется следующая характерная особенность. Помимо основной программы-вируса
(около 130Kb), в отсылаемый файл дописывается еще и содержимое одного случайно
выбранного "местного" файла - в частности, вирус использует имеющиеся на зараженном
компьютере DOC, XLS и ZIP файлы. В дальнейшем, будучи запущен получателем письма,
вирус попытается открыть "прицепленный" к нему файл одной из соответствующих
популярных программ (EXCEL.EXE, WINZIP.EXE и т.д.) и тем самым замаскировать
факт своего запуска. В качестве побочного эффекта такой механизм распространения
может привести к утечке с зараженного компьютера той или иной конфиденциальной
информации.
Для заражения компьютера, на котором он был запущен, вирус выполняет следующие действия.
(1) Создает свою копию с именем Sirc32.exe в каталоге C:\Recycled\ и изменяет значение по умолчанию ключа реестра HKEY_CLASSES_ROOT\exefile\shell\open\command на "C:\recycled\sirc32.exe "%1" %*" В результате система начинает считать, что программа "C:\recycled\sirc32.exe" является необходимой для запуска любых EXE-файлов.
Для восстановления работоспособности системы после удаления вируса, значение данного ключа реестра необходимо восстановить (стандартно оно равно ""%1" %*"). Современные версии DrWeb for Windows'95-2000 с установленными последними обновлениями вирусной базы пытаются автоматически выполнить необходимую коррекцию реестра при лечении системы от данного вируса. Однако, если автоматически поправить реестр по каким-либо причинам окажется невозможным, то для решения проблемы потребуется проделать это вручную. Либо при помощи редактора реестра (regedit.exe в основном каталоге Windows), предварительно переименовав его в regedit.com, чтобы можно было его запустить. Либо можно импортировать соответствующий фрагмент реестра из файла opencomm.reg - для коррекции реестра этот файл нужно просто открыть (скажем, двойным кликом левой кнопки мыши) на пострадавшем компьютере.
(2) Вирус создает свою копию с именем scam32.exe в системном каталоге Windows и регистрирует ее, как автозапускаемый системный сервис в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices следующим образом: Driver32=%System%\scam32.exe
(3) В некоторых случаях (и с очень маленькой вероятностью) вирус также может создавать свою копию с именем Scmx32.exe в основном каталоге Windows, а также с именем "Microsoft Internet Office.exe" в каталоге, указанном ключом реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Shell Folders\Startup
Для заражении компьютеров, доступных через ЛВС, вирус пытатеся проделать следующую последовательность действий.
(1) создать свою копию \\
(2) добавить строку"@win \recycled\sirc32.exe" в файл \\
(3) заместить файл \\
Вирус содержит деструктивную функцию. Она состоит в удалении информации с дисков зараженного компьютера и активируется с небольшой вероятностью при выполнении ряда условий.
30 июля 2001 г.
Информационная служба ЗАО "ДиалогHаука".
Антивирусные программы.
"Лаборатория Касперского" AVP разработала специальную программу обнаружения
и полного удаления (включая восстановление поврежденного системного реестра
Windows) 'SirCam'. Вы можете
бесплатно загрузить ее здесь ftp://ftp.kaspersky.com/utils/clrav.com
или здесь.
Так же можно использовать альтернативную программу Free SirCam Detection and Removal Tool 1.0 .