Главная | Новости | О компании | Сервисы и услуги | Утилиты | Контакты

Утилиты

Описание вируса:
Имя: W32/Sircam-A (W32.Sircam.Worm@mm, W32/SirCam@mm, Backdoor.SirCam)
Специализация: Win32 червь
Особые приметы: приатаченное имя файла также выбрано случайно, но имеет двойное расширение (например, .doc.com or .mpg.pif)

Вирусная программа-червь, поражающая компьютеры под управлением операционных систем семейства Windows. Распространяется путем рассылки своих копий по электронной почте. Кроме того, вирус может распространяться по локальной сети, заражая компьютеры, диски которых являются разделяемыми сетевыми ресурсами, доступными для записи.

По электронной почте W32/Sircam-A рассылает себя следующим образом.

Адреса для рассылки вирус получает путем сканирования содержимого ряда файлов зараженного компьютера, в которых с высокой вероятностью можно встретить актуальные адреса e-mail. Например, это файлы адресных книг Windows, html-файлы и др.

Текст письма может быть на испанском или английском языке и выглядит следующим образом.

В английском варианте:

первая строка: Hi! How are you?
затем идет строка, случайно выбранная из четырех возможных вариантов:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
 последняя строка: See you later. Thanks

В испанском варианте:

первая строка: Hola como estas ?
затем идет строка, случайно выбранная из четырех возможных вариантов:
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informaciуn que me pediste
 последняя строка: Nos vemos pronto, gracias.

В письмо вирус включает себя в виде вложенного файла с произвольным именем и с двойным расширением. В результате может получиться, например, нечто вроде: “OTCH992A.doc.com”, “ANUNCIOS_PRENSA_2001.xls.pif” и т.п.

В поле темы (subject) письма вирус использует имя вложенного файла; причем только имя, без расширений.

Имеется следующая характерная особенность. Помимо основной программы-вируса (около 130Kb), в отсылаемый файл дописывается еще и содержимое одного случайно выбранного “местного” файла — в частности, вирус использует имеющиеся на зараженном компьютере DOC, XLS и ZIP файлы. В дальнейшем, будучи запущен получателем письма, вирус попытается открыть “прицепленный” к нему файл одной из соответствующих популярных программ (EXCEL.EXE, WINZIP.EXE и т.д.) и тем самым замаскировать факт своего запуска. В качестве побочного эффекта такой механизм распространения может привести к утечке с зараженного компьютера той или иной конфиденциальной информации.

Для заражения компьютера, на котором он был запущен, вирус выполняет следующие действия.

  1. Создает свою копию с именем Sirc32.exe в каталоге C:\Recycled\ и изменяет значение по умолчанию ключа реестра
    HKEY_CLASSES_ROOT\exefile\shell\open\command
    на
    "C:\recycled\sirc32.exe "%1" %*"
    В результате система начинает считать, что программа “C:\recycled\sirc32.exe” является необходимой для запуска любых EXE-файлов. Для восстановления работоспособности системы после удаления вируса, значение данного ключа реестра необходимо восстановить (стандартно оно равно ""%1" %*").

  2. Вирус создает свою копию с именем scam32.exe в системном каталоге Windows и регистрирует ее, как автозапускаемый системный сервис в
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices
    следующим образом:
    Driver32=%System%\scam32.exe.

  3. В некоторых случаях (и с очень маленькой вероятностью) вирус также может создавать свою копию с именем Scmx32.exe в основном каталоге Windows, а также с именем “Microsoft Internet Office.exe” в каталоге, указанном ключом реестра
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Shell Folders\Startup

Для заражения компьютеров, доступных через ЛВС, вирус пытатеся проделать следующую последовательность действий.

  1. создать свою копию \\\Recycled\Sirc32.exe
  2. добавить строку “@win \recycled\sirc32.exe” в файл \\\Autoexec.bat
  3. заместить файл \\\Windows\Rundll32.exe вирусной программой, правда, предварительно скопировав оригинальный Rundll32.exe под именем Run32.exe.

Вирус содержит деструктивную функцию. Она состоит в удалении информации с дисков зараженного компьютера и активируется с небольшой вероятностью при выполнении ряда условий.

Источник: Антивирусная лаборатория “ЦЕБИТ”