Алексей Рерих
В среду представитель США по связям с общественностью признала, что подразделению ФБР по борьбе с компьютерными преступлениями () не удалось противостоять эпидемии вируса SirCam. Во вторник один из компьютеров был случайно заражен, после чего вирус стал распространяться по всей системе.
Как сообщает агентство France-Presse, другой представитель ФБР заявил, что самая последняя версия коммерческой антивирусной программы, установленной на компьютерах подразделения, не смогла отследить процесс внедрения вируса в систему.
Сразу после обнаружения сотрудники NIPC начали вручную устранять последствия пребывания вируса в системе, однако несколько электронных писем с вирусом с компьютеров ФБР все же ушло. ФБР отказалось, однако, сообщить журналистам, сколько именно файлов было украдено вирусом с компьютеров ФБР и, таким образом, ушло в необъятные просторы Сети.
Одной из самых неприятных особенностей вируса SirCam, эпидемия которого приобретает все более глобальные масштабы, является способность рассылать себя по Сети, прикрепляя свой код к случайным, вполне безобидным файлам, найденным на уже зараженном компьютере. Таким образом, как уже , у подобного способа маскировки и распространения появляется еще один побочный отрицательный эффект — возможность утечки с зараженного компьютера секретной информации, содержащейся в украденных файлах определенных форматов.
Вирус распространяется по электронной почте в виде прикрепленного файла со случайным именем и двойным расширением. Оба расширения выбираются вирусом случайно из набора: для первого расширения — .doc., .xls., .zip., ,exe., для второго расширения — .pif, .lnk, .bat, .com. Таким образом, прикрепленные файлы могут выглядеть по-разному. Например, так: feb01.xls.pif или normas.doc.bat.
При этом feb01.xls, normas.doc или любое другое «имя_файла.расширение» являются именами реальных файлов, украденных вирусом с предыдущего зараженного компьютера. «Захваченный» файл превращается в «приманку», маскирующую действия вредоносной программы.
Напоминаем, что, несмотря на свою весьма изощренную схему внедрения в систему, основанную на прикреплении вредоносного кода к случайным файлам, вирус имеет, по крайней мере, один постоянный признак: в теле письма, содержащего вирус в виде прикрепленного файла, обязательно есть постоянные первая и последняя фразы на английском или испанском: «Hi! How are you?» или «Hola como estas?» («Привет, как дела?») и «See you later. Thanks» или «Nos vemos pronto, gracias» («Спасибо, увидимся»).
Как сообщает ««, вирус написан на языке Delphi и живет в среде Win32. Таким образом, из заявления ФБР можно сделать по крайней мере один вывод: «Компьютеры подразделения ФБР по борьбе с кибер-преступлениями работают под управлением ОС Windows/32».
Компания Symantec оценила опасность вируса SirCam в 4 бала по пятибалльной шкале. Пока он не нанес серьезного ущерба, однако, на кое-какие деструктивные действия он все же способен: в зависимости от текущей даты и времени, вирус с вероятностью 5 процентов удаляет все файлы и поддиректории в директории Windows (по другим данным, таймер «удаления» настроен на конкретное число — 16 октября).
С вероятностью 2 процента при каждой загрузке компьютера червь создает файл SirCam.Sys в корневом каталоге текущего диска и записывает в него текст, из которого можно понять, что червь создан в Мексике. Каждая такая запись отнимает все больше и больше места. Кроме того, вирус прописывает себя в системном реестре Windows в секции автоматического запуска, а также ищет доступные для записи локальные диски и копирует себя на них, вызывая заражение всей локальной сети.
Бесплатную утилиту «Лаборатории Касперского» для выявления и удаления вируса SirCam можно .
 |
|
| ССЫЛКИ ПО ТЕМЕ |  |
|
|
| МАТЕРИАЛЫ ПО ТЕМЕ | |
Вирус-шпион SirCam — чемпион по рассылке секретных файлов — 25.07.01
Червь-трансформер SirCam хитер, вооружен и очень опасен — 20.07.01