Črv Sircam
Vzdevki: I-Worm.Sircam, W32.Sircam, W32/SircCam
Sircam je črv dolžine 137216 znakov. Širi se preko elektronske pošte in lokalnega omrežja. Po elektronski pošti poslana datoteka je daljša ker vsebuje tudi dokument z okuženega računalnika.
Ob zagonu se skopira v 'c:\recycled\SirC32.exe' in kot 'SCam32.exe' v Windows sistemski imenik. Datoteko 'SirC32.exe' doda kot privzet program za odpiranje EXE datotek. 'SCam32.exe' doda v zagonski del tako da se izvede ob vsakem zagonu računalnika.
V 1/33 primerov se skopira v imenik Windows z imenom 'ScMx32.exe'. Zatem naredi v zagonskem imeniku uporabnika datoteko 'Microsoft Internet Office.exe', ki se požene ob prijavi na računalnik.
Črv zatem nabere e-mail naslov iz Windows Address Book-a (*.wab) in začasno shranjenih spletnih strani programa Internet Explorer (imenik Temporary Internet Files - datoteke 'sho*', 'get*', 'hot*', '*.html') v datoteko 'scw1.dll' v sistemski imenik (ime datoteke je lahko drugačno).
Zatem kreira datoteko 'sc*.dll' ki vsebuje seznam datotek z določenimi podaljški ( '.DOC', '.XLS', '.ZIP') v uporabnikovem imeniku 'My Documents'. Ker ta imenik pogosto vsebuje zasebne ali poslovne datoteke, to pomeni, da črv lahko razpošilja zaupne dokumente.
Z uporabo lastnega SMTP programa črv pošlje sporočilo na zbrane naslove. Če uporabnik nima nastavljene elektronske pošte se za pošiljatelja uporabi '[uporabnik]@prodigy.mx.net', za poštni strežnik pa 'prodigy.net.mx'. Črvu pripne eno od datotek s seznama in doda še podaljšek, tako se ime konča z naprimer .DOC.EXE, .ZIP.COM, .DOC.PIF, ...
Ko prejemnik odpre pripono se računalnik okuži in odpre pripeti dokument. Tako je dejavnost črva prikrita. Poslana sporočila izgledajo kot:
Zadeva: [ime dokumenta brez podaljška]
Od: [naslov_okuženega uporabnika]
Za: [naključni_naslov_iz_adresarja]
Hi! How are you?
'I send you this file in order to have your advice'
ali
'I hope you can help me with this file that I send'
ali
'I hope you like the file that I sendo you'
ali
'This is the file with the information that you ask for'
See you later! Thanks
Če ima pošiljatelj za privzeti jezik nastavljeno španščino, je besedilo:
Hola como estas ?
'Te mando este archivo para que me des tu punto de vista'
ali
'Espero me puedas ayudar con el archivo que te mando'
ali
'Espero te guste este archivo que te mando'
ali
'Este es el archivo con la informaci n que me pediste'
Nos vemos pronto, gracias.
Pripeta je datoteka z okuženega pošiljateljevega računalnika z dvojnim podaljškom, naprimer dokument.DOC.EXE, arhiv.ZIP.COM, slika.JPG.PIF, ... Končnice so '.COM', '.BAT', '.PIF' in '.LNK'.
Črv se širi tudi preko omrežja. Preveri vse mrežne dostope in če na njih najde imenik '\recycled', se skopira vanj in zamenja datoteko '\windows\rundll32.exe' s svojo kopijo, original pa preimenuje v 'run32.exe'. Zatem doda vrstico v '\autoexec.bat': '@win \recycled\SirC32.exe'.
Črv 16. oktobra v 1/20 primerov pobriše vse datoteke z enote na kateri je nameščen operacijski sistem Windows. Ostale dni v 1/50 primerov zapolni disk z datoteko 'sistemski_disk:\recycled\sircam.sys' v katero vpisuje besedilo '[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]' ali '[SirCam Version 1.0 Copyright 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]'
Odstranjevanje:
Pred odstranjevanjem je potrebno pognati naslednjo datoteko, ki popravi povezavo na zagon EXE datotek v sistemskem registru:
ftp://ftp.europe.f-secure.com/anti-virus/tools/sirc_dis.reg
--
REGEDIT4
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Driver32" = ""
--
Če tega ne naredite se lahko zgodi da ne boste mogli poganjati EXE datotek!
Zatem se računalnik očisti s protivirusnim programom F-Secure Anti-Virus, najbolje je to narediti v MS-DOS načinu. Če je bil računalnik okužen preko omrežja je potrebno '\windows\run32.exe' preimenovati nazaj v '\windows\rundll32.exe', pobrisati \recycled\SirC32.exe ter zbrisati dodano vrstico v 'autoexec.bat'.