Алексей Рерих
Самым обновленным версиям антивирусного программного обеспечения самых разных производителей не удается справиться с эпидемией вируса SirCam. Программное обеспечение, рассчитанное на то, чтобы отфильтровывать письма, содержащие заразные вложения, пропускают вирус в почтовые ящики, в результате чего пользователи, уверенные в том, что им ничего не грозит, спокойно активизируют хитроумный вирус.
Как сообщает онлайновый журнал The Register, недавно было обнаружено, что ПО компании , предназначенное для фильтрации файлов MIME (Multipurpose Internet Mail Extension — многоцелевые расширения почты Интернет), а также антивирусное ПО компании (Norton Antivirus v. 2.x для почтовых SMTP-шлюзов) не справляются с отфильтровыванием зараженных писем.
Еще раньше сообщалось, что даже в отделе ФБР по борьбе с компьютерными преступлениями новейшие версии антивирусного ПО не справились с вирусом SirCam и на одном из компьютеров подразделения вирус был активизирован, в результате чего произошла утечка в Сеть секретных документов.
При этом проблемы наблюдаются именно с обновленными версиями антивирусов, специально написанными для борьбы с новыми червями. Причина банальна: хитроумный вирус SirCam, распространяющийся в виде вложения в электронное письмо, каждый раз появляется в новом обличии, в виде файла произвольного размера со случайным именем и двойным расширением. Оба расширения выбираются вирусом из набора: для первого расширения — .doc, .xls, .zip, .exe, для второго расширения — .pif, .lnk, .bat, .com. Таким образом, прикрепленные файлы могут выглядеть по-разному. Например, так: feb01.xls.pif или normas.doc.bat.
При этом feb01.xls, normas.doc или любое другое «имя_файла.расширение» являются именами реальных файлов, украденных вирусом с предыдущего зараженного компьютера. «Захваченный» файл превращается в «приманку», маскирующую действия вредоносной программы, которая начинает рассылать зараженный файл по всем адресам, найденным в адресной книжке зараженного компьютера. Заголовок зараженного письма повторяет имя прикрепленного файла, то есть тоже оказывается разным от случая к случаю.
Таким образом, антивирусные программы, настроенные на определенный заголовок или имя прикрепленного файла, не способны идентифицировать вирус.
Вирус написан на языке Delphi и живет в среде Win32. Вирус также распространяется по локальной сети, заражая все обнаруженные им локальные диски. Таким образом, заражение одного корпоративного компьютера приводит к заражению всей системы.
Основной вредоносный эффект вируса заключается в замусоривании электронной почты огромными файлами. Кроме того, сами файлы, «похищаемые» вирусом с зараженных компьютеров и рассылаемые кому попало, зачастую содержат персональные или корпоративные секреты.
Несмотря на свою весьма изощренную схему внедрения в систему, основанную на прикреплении вредоносного кода к случайным файлам, вирус имеет, по крайней мере, один постоянный признак: в теле письма, содержащего вирус в виде прикрепленного файла, обязательно есть постоянные первая и последняя фразы на английском или испанском: «Hi! How are you?» или «Hola como estas?» («Привет, как дела?») и «See you later. Thanks» или «Nos vemos pronto, gracias» («Спасибо, увидимся»).
Бесплатную утилиту «Лаборатории Касперского» для выявления и удаления вируса SirCam можно скачать здесь.
Напоминаем также, что самое эффективное средство борьбы с непрошеными программами, приходящими по почте в виде вложения — это просто не активизировать их. Не рекомендуется открывать файлы, присланные от неизвестных лиц или с подозрительными «темами», имеющие исполняемое или двойное расширение.
Рекомендуется также запретить почтовой программе Outlook Express самостоятельно открывать вложенные в письма файлы (зачастую по умолчанию эта функция разрешена, что и приводит к автоматическому запуску вируса). А некоторые решительно настроенные пользователи успешно борются с вирусом SirCam, вообще запрещая почтовым программам принимать письма с вложениями заданных типов, либо превышающие определенный размер (например, более 100К).
 |
|
| ССЫЛКИ ПО ТЕМЕ |  |
|
|
| МАТЕРИАЛЫ ПО ТЕМЕ | |
SirCam добрался до ФБР и украл секретные документы — 26.07.01
Вирус-шпион SirCam — чемпион по рассылке секретных файлов — 25.07.01
Червь-трансформер SirCam хитер, вооружен и очень опасен — 20.07.01