Sir-Cam : Il virus che distribuisce i Vostri archivi !!!
'Hi! How are you?
I send you this file in order to have
your advice.
See you later'.
'I hope you like the file
that I send to you'.
Avete ricevuto un messaggio via mail
con un testo simile?
Allora ci auguriamo che l'abbiate
eliminato immediatamente, senza aprire l'allegato che lo
accompagnava.
Il virus, una volta installato
sul vostro pc, tenta di cancellare tutti i file sul drive
dove e' installato Windows.
In piu', cerca di occupare tutto
lo spazio disponibile su disco, ripetendo all'infinito una
serie di frasi.
Ma c'e' una cosa che
sta facendo di certo. Diffonde a caso agli indirizzi
della rubrica di Outlook, file piu' o meno riservati del proprio disco fisso.
Questi documenti potrebbero fare il giro del mondo, ma
prima che ad estranei arriverebbero ai vostri amici, ai
quali manderete non solo un virus ma anche un file salvato
su disco.
E tutto questo senza saperlo.
SirCam e' un worm costituito da un file eseguibile di circa
130 KB, che al momento della diffusione si appende a un file
.DOC, .XLS, .ZIP, per esempio. Mittente e soggetto della
mail possono trarre in inganno,
ma non aprite mai l'allegato.
Il virus, anche dopo la rimozione dei file, puo'
reinfettare nuovamente il PC in quanto colloca nel cestino,
che solitamente non viene scansionato dagli antivirus, alcuni
file che possono dare nuovo impulso al virus.
La miglior
difesa, oltre all' aggiornamento del proprio anti-virus,
resta quella di non aprire allegati di dubbia provenienza.
Symantec assegna pericolosita' 4 (5 e' il max).
Guida a Sircam e come cercare di limitare i danni
Descrizione e rimedi :
Si può prevedere l'arrivo nella casella di posta ed eliminarlo alla radice,
cioe' spostandolo direttamente in posta eliminata
(anche se ci sarebbe la possibilita' di eliminarlo dal server).
Intanto vediamo come e' fatto:
Il virus Sircam fa parte della categoria dei Worm e puo' diffondersi via Internet oppure
attraverso computer collegati in rete locale. Il worm in questione e' costituito da un file eseguibile
di circa 130 KB di lunghezza scritto in Delphi (un compilatore prodotto da Borland).
Al momento della diffusione, il worm puo' appendere a se stesso un file DOC, XLS, ZIP o di altro tipo
(come quelli che vi diro' piu' sotto), quindi la lunghezza del worm puo' essere superiore ai 130 KB.
Una volta eseguito (ad esempio, per mezzo di un clic del mouse su un file allegato a un messaggio
di posta elettronica) il worm si installa nel sistema,
invia dei messaggi infetti che hanno il worm in allegato, infetta dei computer collegati in rete locale,
se sono presenti dei drive condivisi, e in base alla data di sistema esegue il proprio payload
(routine distruttiva).
Come si diffonde via e-mail
Il worm invia se stesso da computer infetti sotto forma di allegato a dei messaggi di posta elettronica. Il file allegato ha un nome variabile e una estensione doppia e quindi puo' essere facilmente identificabile.
Esempio:
nomefile.ext1.ext2
dove "ext1" può essere una delle seguenti estensioni
DOC, XLS, ZIP, EXE
Mentre "ext2" viene selezionata casualmente tra
PIF, LNK, BAT, COM
Ad esempio:
feb01.xls.pif
normas.doc.bat
Il "nomefile.ext1" viene determinato da uno dei file presenti sulla macchina infettata: il worm, infatti,
compie una ricerca sul computer usando come parametro l'estensione "ext1" e una volta trovato un file che soddisfa tale condizione, ne usa il nome per determinare quello dell'allegato infetto. Quindi il worm legge il contenuto del file trovato, lo appende in coda a una copia di se stesso e la spedisce sotto forma di allegato a un messaggio di posta elettronica.
I file infetti che vengono spediti via e-mail sono costituiti da due parti:
1.una copia del worm
2.un file appeso in coda al codice del worm, selezionato casualmente tra file DOC/XLS/ZIP/EXE presenti sul sistema infetto
La cosa piu' devastante e' che il metodo di diffusione usato dal worm puo' causare la trasmissione di informazioni riservate.
Il messaggio di posta elettronica ha come oggetto il nome del file in allegato.
Il corpo del messaggio puo' essere in due linguaggi: inglese e spagnolo. La prima e l'ultima riga sono sempre uguali:
Prima linea : Hi! How are you? Hola como estas ?
Ultima linea: See you later. Thanks Nos vemos pronto, gracias.
Esiste anche un contenuto variabile tra la prima e l'ultima riga e viene selezionato fra le seguenti stringhe di testo:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la información que me pediste
Il worm ottiene gli indirizzi e-mail ai quali spedire se stesso effettuando una scansione dei file che possono contenere indirizzi di posta elettronica: SHO*, GET*, HOT*, *.HTM, *WAB e altri.
Il risultato delle varie ricerche effettuate dal worm viene memorizzato in una serie di "false" DLL all'interno della cartella di sistema:
SCD.DLL: contiene una lista dei file con estensione "ext1"
SCH1.DLL, SCI1.DLL: contengono una lista degli indirizzi di posta elettronica trovati nei file sottoposti a scansione.
SCW1.DLL: contiene l'elenco di indirizzi e-mail trovati nella Rubrica di Windows.
Oltre a questi file, possono esserci anche i file SCT1.DLL e SCY1.DLL dove il worm memorizza altri dati.
Come si installa sul sistema :
Una volta infettato il PC, il worm copia se stesso in
1.La cartella speciale \RECYCLED del drive dove e' stato installato Windows usando il nome SirC32.exe. Ad esempio, se Windows e' presente nella cartella C:\Windows, il worm copiera' se stesso in C:\RECYCLED\SirC32.exe
2.Nella cartella di sistema di Windows con il nome Scam32.exe
3.Nella cartella Windows con il nome ScMx32.exe
4.Nella cartella di Esecuzione automatica di windows con il nome "Microsoft Internet Office.exe"
E' da notare che tali azioni non vengono compiute dal worm la prima volta che viene eseguito, alcuni file infatti vengono creati a seconda del verificarsi di certe condizioni. Tutti i file creati hanno impostato l'attributo "nascosto"
Il worm registra i due primi file all'interno del Registro di sistema
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Driver32 = %windows sytem directory%\SCam32.exe
HKCR\exefile\shell\open\command
SirC32.exe
Quindi estrae nella cartella temporanea di Windows il file che ha memorizzato alla fine del proprio codice, aprendolo con l'applicazione ad esso associata: WINWORD.EXE, WORDPAD.EXE, EXCEL.EXE, WINZIP.EXE, a seconda del tipo di file.
Il worm crea un'ulteriore serie di chiavi nel Registro dove memorizza altri dati
HKLM\SOFTWARE\SirCam
Come si diffonde in rete locale
Per diffondersi in rete locale, il worm enumera tutte le risorse di rete del computer infettato, ottenendo tutte le cartelle remote condivise, dove copia se stesso. Se esiste una cartella \Recycled nella cartella condivisa, il worm vi crea una copia del proprio codice usando il nome SirC32.exe. Quindi modifica il file AUTOEXEC.BAT inserendo alla fine del file la linea
@win \recycled\SirC32.exe
Se esiste una cartella \Windows, il worm rinomina il file RUNDLL32.EXE in RUN32.EXE e quindi sovrascrive il file RUNDLL32.EXE originale con una copia di se stesso. Il worm imposta l'attributo nascosto sulle proprie copie.
La routine del payload
A seconda della data e del tempo di sistema, con una probabilità di 1 a 20 il worm cancella tutti i file sul drive dove e' installato Windows e quindi rimuove tutte le cartelle.
Ogni volta che viene eseguito, con una probabilita' di 1 su 50, il worm crea un file SirCam.sys nella cartella radice del drive corrente e vi scrive il seguente testo, cifrato nel codice del worm:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright © 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]
Sembra che il worm scriva queste frasi in un ciclo continuo, con l'intento di esaurire lo spazio libero disponibile sul disco. Altra cosa antipatica...
A causa di errore presente nel codice del worm, le routine del payload non vengono eseguite correttamente, rendendo il worm meno pericoloso di quello che doveva essere nelle intenzioni del suo autore. Ad ogni modo, la prima routine (cancellazione di tutti i file nel drive di Windows) verrà eseguita nel caso in cui le copie del worm SIRC32.EXE, SCAM32.EXE e RUNDLL32.EXE vengano rinominate ed eseguite.
(Fonte: informazioni ed analisi a cura di Paolo Monti e Eugene Kaspersky di http://www.avp.it )
La regola di posta utilizzata:
Ecco come eliminarlo alla radice: utilizzando Outlook Express, andare in
Strumenti-Regole Messaggi-Posta elettronica. Poi su Nuova. Adesso nel campo 1
(Selezionare le condizioni della regola) settare: "In cui il corpo del messaggio contiene parole specifiche"
ed inserire esattamente:
Hi! How are you?
Le quali sono le parole che si trovano come testo standard nella mail che accompagna il virus.
Aggiungere anche In cui la casella A contiene contatti e ci mettete il vostro indirizzo e-mail.
Dopo di che, nel campo 2, settare la casella Elimina il messaggio.
Per sicurezza se avete altre regole, spostate questa in alto (= cioe' Outlook Express fa in modo che sia la prima ad essere applicata).
Fatto questo, le mail con virus saranno buttate direttamente nel cestino.
E con questo sistema potremo evitare di essere contagiati da un altro noioso virus...
Se invece avete aperto l'allegato e siete infetti, fate un giro qui:
http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.removal.tool.html
Ultime notizie:
La NAI ha messo a punto un programmino
per rimuoverlo:
http://download.nai.com/products/media/mcafeeb2b/zip/scrmove2.zip
Un ringraziamento particolare a Luigi del sito www.untruccoalgiorno.it, autore dell'articolo relativo al Virus
© 2000-2012 WebMaster Agris
www.agriservices.it
www.ricambitrattorishop.com
Agriservices Srl
Via Aleardi 43 - 10045 Piossasco (Torino)
Tel. 011-906.65.45 Fax 011-0960078
