In
questi ultimi giorni è salito agli onori della cronaca
un nuovo virus, denominato Sircam. Inizialmente è stato
valutato come un virus di media pericolosità, ma con il
passare dei giorni ha acquisito maggiore attenzione da
parte degli esperti, ed è ritenuto attualmente quello
più pericoloso, passando da livello 3 a livello 4. Vediamo
perché.
Sircam
è un worm, un virus in grado di diffondersi in reti di
computer, sia locali sia Internet.
E' scritto in linguaggio Delphi, la sua lunghezza è di
circa 130KB e si propaga automaticamente, all'insaputa
dell'utente, utilizzando l'e-mail. La tecnica è quella
della scansione (propria anche di altri virus) della rubrica
di posta elettronica, e della scansione dei files che
possono contenere indirizzi di posta elettronica come
.htm, get*, hot* e altri.
Si è contagiati dal virus aprendo il file allegato all'e-mail
infetta.
Sircam prende possesso del nuovo pc installandosi nella
cartella \RECYCLED: questa è una novità, ed è un modo
per passare inosservato ai controlli degli antivirus,
i quali - di norma - non controllano questa cartella.
Quindi
Sircam:
1. Copia se stesso nella cartella speciale \RECYCLED usando
il nome SirC32.exe.
2. Copia se stesso nella cartella di sistema di Windows
con il nome Scam32.exe.
3. Copia se stesso nella cartella Windows con il nome
ScMx32.exe
4. Copia se stesso nella cartella d'Esecuzione automatica
di Windows con il nome "Microsoft Internet Office.exe"
impostando tutti i files creati con l'attributo "nascosto".
Inoltre
il worm crea delle false DLL nella cartella di sistema:
SCD.DLL: in cui viene memorizzata la lista dei file con
estensione "ext1".
SCH1.DLL e SCI1.DLL: contengono la lista degli indirizzi
di posta elettronica trovati nel pc.
SCW1.DLL: in cui viene memorizzato l'elenco d'indirizzi
e-mail trovati nella rubrica di Windows.
SCT1.DLL e SCY1.DLL in cui vengono memorizzati vari dati.
Come
si presenta un'e-mail infetta? L'oggetto dell'e-mail ha
il nome del file allegato.
Il file allegato ha una doppia estensione, del tipo: nomefile.ext1.ext2.
"ext1" può essere DOC, EXE, XLS, ZIP che poi è l'estensione
reale del file catturato;
"ext2" è creata casualmente tra BAT, COM, LINK, PIF;
esempio NOTEMARZO01.DOC.LINK.
La
prima e l'ultima riga del corpo del messaggio sono sempre
le stesse, in lingua inglese o spagnola:
Inglese
Spagnolo
La prima linea è sempre: Hi! How are you? Hola como estas
?
L'ultima linea è sempre: See you later. Thanks Nos vemos
pronto, gracias.
Le righe intermedie variano e possono essere:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
Te
mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la información que me pediste
Che
tipi di danni crea Sircam?
Sircam spedisce file reali in rete, rendendo così pubblici
dati riservati che possono recare un gravissimo danno
alle aziende ed ai privati. Inoltre, controllando la data
di sistema Sircam esegue la routine di payload (cioè routine
distruttiva) ogni volta che viene eseguito con queste
probabilità:
da 1 a 20 cancella tutti i file sul drive dove è installato
Windows e quindi rimuove tutte le cartelle;
da 1 a 50 crea un file SirCam.sys scrivendo ogni volta
il testo:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright © 2001 2rP Made in / Hecho
en - Cuitzeo, Michoacan Mexico]
cercando di esaurire lo spazio libero sul disco.
Per
sapere se il vostro PC è stato infettato da Sircam scaricatevi
questo programmino da Symantec
Per rimuovere Sircam la NAI ha creato un programma, scaricalo da qui
luigi
