Алексей Рерих
Самым обновленным версиям антивирусного программного обеспечения самых разных производителей не удается справиться с эпидемией вируса SirCam. Программное обеспечение, рассчитанное на то, чтобы отфильтровывать письма, содержащие заразные вложения, пропускают вирус в почтовые ящики, в результате чего пользователи, уверенные в том, что им ничего не грозит, спокойно активизируют хитроумный вирус.
Как сообщает онлайновый журнал The Register, недавно было обнаружено, что ПО компании , предназначенное для фильтрации файлов MIME (Multipurpose Internet Mail Extension – многоцелевые расширения почты Интернет), а также антивирусное ПО компании (Norton Antivirus v. 2.x для почтовых SMTP-шлюзов) не справляются с отфильтровыванием зараженных писем.
Еще раньше сообщалось, что даже в отделе ФБР по борьбе с компьютерными преступлениями новейшие версии антивирусного ПО не справились с вирусом SirCam и на одном из компьютеров подразделения вирус был активизирован, в результате чего произошла утечка в Сеть секретных документов.
При этом проблемы наблюдаются именно с обновленными версиями антивирусов, специально написанными для борьбы с новыми червями. Причина банальна: хитроумный вирус SirCam, распространяющийся в виде вложения в электронное письмо, каждый раз появляется в новом обличии, в виде файла произвольного размера со случайным именем и двойным расширением. Оба расширения выбираются вирусом из набора: для первого расширения – .doc, .xls, .zip, .exe, для второго расширения – .pif, .lnk, .bat, .com. Таким образом, прикрепленные файлы могут выглядеть по-разному. Например, так: feb01.xls.pif или normas.doc.bat.
При этом feb01.xls, normas.doc или любое другое “имя_файла.расширение” являются именами реальных файлов, украденных вирусом с предыдущего зараженного компьютера. “Захваченный” файл превращается в “приманку”, маскирующую действия вредоносной программы, которая начинает рассылать зараженный файл по всем адресам, найденным в адресной книжке зараженного компьютера. Заголовок зараженного письма повторяет имя прикрепленного файла, то есть тоже оказывается разным от случая к случаю.
Таким образом, антивирусные программы, настроенные на определенный заголовок или имя прикрепленного файла, не способны идентифицировать вирус.
Вирус написан на языке Delphi и живет в среде Win32. Вирус также распространяется по локальной сети, заражая все обнаруженные им локальные диски. Таким образом, заражение одного корпоративного компьютера приводит к заражению всей системы.
Основной вредоносный эффект вируса заключается в замусоривании электронной почты огромными файлами. Кроме того, сами файлы, “похищаемые” вирусом с зараженных компьютеров и рассылаемые кому попало, зачастую содержат персональные или корпоративные секреты.
Несмотря на свою весьма изощренную схему внедрения в систему, основанную на прикреплении вредоносного кода к случайным файлам, вирус имеет, по крайней мере, один постоянный признак: в теле письма, содержащего вирус в виде прикрепленного файла, обязательно есть постоянные первая и последняя фразы на английском или испанском: “Hi! How are you?” или “Hola como estas?” (“Привет, как дела?”) и “See you later. Thanks” или “Nos vemos pronto, gracias” (“Спасибо, увидимся”).
Бесплатную утилиту “Лаборатории Касперского” для выявления и удаления вируса SirCam можно скачать здесь.
Напоминаем также, что самое эффективное средство борьбы с непрошеными программами, приходящими по почте в виде вложения – это просто не активизировать их. Не рекомендуется открывать файлы, присланные от неизвестных лиц или с подозрительными “темами”, имеющие исполняемое или двойное расширение.
Рекомендуется также запретить почтовой программе Outlook Express самостоятельно открывать вложенные в письма файлы (зачастую по умолчанию эта функция разрешена, что и приводит к автоматическому запуску вируса). А некоторые решительно настроенные пользователи успешно борются с вирусом SirCam, вообще запрещая почтовым программам принимать письма с вложениями заданных типов, либо превышающие определенный размер (например, более 100К).
 |
|
| ССЫЛКИ ПО ТЕМЕ |  |
|
|
| МАТЕРИАЛЫ ПО ТЕМЕ | |
SirCam добрался до ФБР и украл секретные документы – 26.07.01
Вирус-шпион SirCam – чемпион по рассылке секретных файлов – 25.07.01
Червь-трансформер SirCam хитер, вооружен и очень опасен – 20.07.01