Алексей Рерих
По Сети в диком виде расползается весьма опасный почтовый червь SirCam — компания Symantec оценила его в 4 бала по пятибалльной шкале. Правда, серьезного ущерба он пока не нанес — но может, ввиду исключительно хитроумной технологии внедрения, маскировки и распространения. В диком виде червь зафиксирован в Европе, Америке и Австралии.
Как сообщает «Лаборатория Касперского», вирус написан на языке Delphi, живет в среде Win32, распространяется по почте и по локальной сети. В зависимости от текущей даты и времени, вирус с вероятностью 5 процентов удаляет все файлы и поддиректории в директории Windows. А также с вероятностью 2 процента при каждой загрузке компьютера создает файл SirCam.Sys в корневом каталоге текущего диска и записывает в него текст, из которого, в частности, можно понять, что червь создан в Мексике. Каждая такая запись отнимает все больше и больше места.
Вирус распространяется по электронной почте в виде прикрепленного файла со случайным именем и двойным расширением. Оба расширения также выбираются вирусом случайно из набора: для первого расширения — .doc., .xls., .zip., ,exe., для второго расширения — .pif, .lnk, .bat, .com. Таким образом, прикрепленные файлы могут выглядеть, например, так: feb01.xls.pif или normas.doc.bat.
При этом feb01.xls, normas.doc или любое другое «имя_файла.расширение» являются именами реальных файлов, присутствующих в системе подвергшейся предыдущему заражению. При распространении червь берет реально существующий на компьютере файл с одним из указанных расширений и, присоединяя к нему свой исполняемый код, отсылает полученный результат по всем найденным в адресной книге адресам. «Захваченный» файл превращается в «приманку», маскирующую реальные действия вредоносной программы. Попав на новый компьютер, вирус пытается открыть «приманку» при помощи соответствующей программы (WinWord, например).
Таким образом, у подобного способа маскировки и распространения появляется и еще один побочный отрицательный эффект — возможность утечки с зараженного компьютера секретной информации, содержащейся в файлах указанных форматов.
В поле «Тема» зараженного сообщения содержится имя прикрепленного файла. Текст письма, которое написано либо на английском, либо на испанском языке, также генерится случайно из нескольких вариантов. Неизменны только первая и последняя фраза на английском или испанском: «Hi! How are you?» или «Hola como estas ?» («Привет, как дела?») и «See you later. Thanks» или «Nos vemos pronto, gracias» (Спасибо, увидимся). Между этими двумя фразами случайным образом вставляется одна из четырех фраз.
Червь в процессе внедрения и сканирования системы создает несколько библиотек, в которых хранит различную служебную информацию: например в sdc.dll содержит имена файлов с подходящим первым расширением, в файлах sch1.dll и sci1.dll хранятся адреса электронной почты, найденные в системе. Возможно также создание файлов sct1.dll и scy1.dll для хранения другой необходимой информации.
При внедрении в систему червь копирует себя в различные директории под разными именами. В директорию c:\windows и c:\recycled под именем SirC32.exe; в системную директорию Windows под именем SCam32.exe и другие. При этом эти действия совершаются постепенно и в зависимости от различных факторов.
Кроме того, вирус прописывает себя в системном реестре Windows в секции автоматического запуска, а также ищет доступные для записи локальные диски и копирует себя на них, вызывая заражение всей локальной сети.
 |
|
| ССЫЛКИ ПО ТЕМЕ |  |
|
|
| МАТЕРИАЛЫ ПО ТЕМЕ | |
Вирус «Китай» устроил массовую атаку на Белый дом — 20.07.01
Червь «Китай» заразил 22 тысячи серверов — 19.07.01
Вирус «Марихуана» раздражает поклонников конопли — 12.07.01
Новый троян рассылает рекламный спам — 05.07.01
Вирус пожирает компьютер на художественной выставке — 28.06.01
Пользователь! А ты уже удалил файл sulfnbk.exe? — 31.05.01
Вирус «Hard» учит пользователей бороться с вирусами — 14.05.01
Новый вирус Magistr: медленнее ILoveYou, но опаснее «Чернобыля» — 15.03.01