SIRCAM
Il virus
Sircam fa parte della categoria dei Worm e puo' diffondersi via Internet oppure
attraverso computer collegati in rete locale. Il worm in questione e' costituito
da un file eseguibile di circa 130 KB di lunghezza scritto in Delphi (un compilatore
prodotto da Borland). Al momento della diffusione, il worm puo' appendere
a se stesso un file DOC, XLS, ZIP o di altro tipo (come quelli che vi diro'
piu' sotto), quindi la lunghezza del worm puo' essere superiore ai 130 KB.
Una volta eseguito (ad esempio, per mezzo di un clic del mouse su un file
allegato a un messaggio di posta elettronica) il worm si installa nel sistema,
invia dei messaggi infetti che hanno il worm in allegato, infetta dei computer
collegati in rete locale, se sono presenti dei drive condivisi, e in base
alla data di sistema esegue il proprio payload (routine distruttiva).
Come si diffonde via e-mail
Il worm invia se stesso da computer infetti sotto forma di allegato a dei
messaggi di posta elettronica. Il file allegato ha un nome variabile e una
estensione doppia e quindi puo' essere facilmente identificabile.
Esempio:
nomefile.ext1.ext2
dove "ext1" può essere una delle seguenti estensioni
DOC, XLS, ZIP, EXE
Mentre "ext2" viene selezionata casualmente tra
PIF, LNK, BAT, COM
Ad esempio:
feb01.xls.pif
normas.doc.bat
Il "nomefile.ext1" viene determinato da uno dei file presenti
sulla macchina infettata: il worm, infatti, compie una ricerca sul computer
usando come parametro l’estensione "ext1" e una volta trovato
un file che soddisfa tale condizione, ne usa il nome per determinare quello
dell’allegato infetto. Quindi il worm legge il contenuto del file trovato,
lo appende in coda a una copia di se stesso e la spedisce sotto forma di allegato
a un messaggio di posta elettronica.
I file infetti che vengono spediti via e-mail sono costituiti da due parti:
1.una copia del worm
2.un file appeso in coda al codice del worm, selezionato casualmente tra file
DOC/XLS/ZIP/EXE presenti sul sistema infetto
La cosa piu' devastante e' che il metodo di diffusione usato dal worm puo'
causare la trasmissione di informazioni riservate.
Il messaggio di posta elettronica ha come oggetto il nome del file in allegato.
Il corpo del messaggio puo' essere in due linguaggi: inglese e spagnolo. La
prima e l’ultima riga sono sempre uguali:
Prima linea : Hi! How are you? Hola como estas ?
Ultima linea: See you later. Thanks Nos vemos pronto, gracias.
Esiste anche un contenuto variabile tra la prima e l’ultima riga e viene selezionato
fra le seguenti stringhe di testo:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la información que me pediste
Il worm ottiene gli indirizzi e-mail ai quali spedire se stesso effettuando
una scansione dei file che possono contenere indirizzi di posta elettronica:
SHO*, GET*, HOT*, *.HTM, *WAB e altri.
Il risultato delle varie ricerche effettuate dal worm viene memorizzato in
una serie di "false" DLL all’interno della cartella di sistema:
SCD.DLL: contiene una lista dei file con estensione "ext1"
SCH1.DLL, SCI1.DLL: contengono una lista degli indirizzi di posta elettronica
trovati nei file sottoposti a scansione.
SCW1.DLL: contiene l’elenco di indirizzi e-mail trovati nella Rubrica di Windows.
Oltre a questi file, possono esserci anche i file SCT1.DLL e SCY1.DLL dove
il worm memorizza altri dati.
Come si installa sul sistema
Una volta infettato il PC, il worm copia se stesso in
1.La cartella speciale \RECYCLED del drive dove e' stato installato Windows
usando il nome SirC32.exe. Ad esempio, se Windows e' presente nella cartella
C:\Windows, il worm copiera' se stesso in C:\RECYCLED\SirC32.exe
2.Nella cartella di sistema di Windows con il nome Scam32.exe
3.Nella cartella Windows con il nome ScMx32.exe
4.Nella cartella di Esecuzione automatica di windows con il nome "Microsoft
Internet Office.exe"
E’ da notare che tali azioni non vengono compiute dal worm la prima volta
che viene eseguito, alcuni file infatti vengono creati a seconda del verificarsi
di certe condizioni. Tutti i file creati hanno impostato l’attributo "nascosto"
Il worm registra i due primi file all’interno del Registro di sistema
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Driver32 = %windows sytem directory%\SCam32.exe
HKCR\exefile\shell\open\command
SirC32.exe
Quindi estrae nella cartella temporanea di Windows il file che ha memorizzato
alla fine del proprio codice, aprendolo con l’applicazione ad esso associata:
WINWORD.EXE, WORDPAD.EXE, EXCEL.EXE, WINZIP.EXE, a seconda del tipo di file.
Il worm crea un’ulteriore serie di chiavi nel Registro dove memorizza altri
dati
HKLM\SOFTWARE\SirCam
Come si diffonde in rete locale
Per diffondersi in rete locale, il worm enumera tutte le risorse di rete del
computer infettato, ottenendo tutte le cartelle remote condivise, dove copia
se stesso. Se esiste una cartella \Recycled nella cartella condivisa, il worm
vi crea una copia del proprio codice usando il nome SirC32.exe. Quindi modifica
il file AUTOEXEC.BAT inserendo alla fine del file la linea
@win \recycled\SirC32.exe
Se esiste una cartella \Windows, il worm rinomina il file RUNDLL32.EXE in
RUN32.EXE e quindi sovrascrive il file RUNDLL32.EXE originale con una copia
di se stesso. Il worm imposta l’attributo nascosto sulle proprie copie.
La routine del payload
A seconda della data e del tempo di sistema, con una probabilità di
1 a 20 il worm cancella tutti i file sul drive dove e' installato Windows
e quindi rimuove tutte le cartelle.
Ogni volta che viene eseguito, con una probabilita' di 1 su 50, il worm crea
un file SirCam.sys nella cartella radice del drive corrente e vi scrive il
seguente testo, cifrato nel codice del worm:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright © 2001 2rP Made in / Hecho en - Cuitzeo,
Michoacan Mexico]
Sembra che il worm scriva queste frasi in un ciclo continuo, con l’intento
di esaurire lo spazio libero disponibile sul disco. Altra cosa antipatica...
A causa di errore presente nel codice del worm, le routine del payload non
vengono eseguite correttamente, rendendo il worm meno pericoloso di quello
che doveva essere nelle intenzioni del suo autore. Ad ogni modo, la prima
routine (cancellazione di tutti i file nel drive di Windows) verrà
eseguita nel caso in cui le copie del worm SIRC32.EXE, SCAM32.EXE e RUNDLL32.EXE
vengano rinominate ed eseguite.
(Fonte: informazioni ed analisi a cura di Paolo Monti e Eugene
Kaspersky di http://www.avp.it )
Configurare una regola di posta per eliminare direttamente le email infette:
Utilizzando Outlook Express,
andare in Strumenti-Regole Messaggi-Posta elettronica.
Poi su Nuova. Adesso nel campo 1 (Selezionare
le condizioni della regola) settare “In cui il
corpo del messaggio contiene parole specifiche”
ed inserire esattamente:
Hi! How are you?
Le quali sono le parole che si trovano come testo standard nella mail che
accompagna il virus.
Aggiungete anche In cui la casella A contiene contatti
e ci mettete il vostro indirizzo e-mail.
Dopo di che, nel campo
2, settate la casella Elimina il messaggio. Per
sicurezza se avete altre regole, spostate questa in alto (= cioe' Outlook
Express fa in modo che sia la prima ad essere applicata).
Fatto questo, le mail con virus saranno buttate direttamente nel cestino.
Se invece avete aperto l'allegato e siete infetti
(!!!), fate un giro qui:
http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.removal.tool.html
