SirCam добрался до ФБР и украл секретные документы

Author:

Алексей Рерих

В среду представитель Федерального бюро расследований США по связям с общественностью признала, что подразделению ФБР по борьбе с компьютерными преступлениями (National Infrastructure Protection Center — NIPC) не удалось противостоять эпидемии вируса SirCam. Во вторник один из компьютеров был случайно заражен, после чего вирус стал распространяться по всей системе.

Как сообщает агентство France-Presse, другой представитель ФБР заявил, что самая последняя версия коммерческой антивирусной программы, установленной на компьютерах подразделения, не смогла отследить процесс внедрения вируса в систему.

Сразу после обнаружения сотрудники NIPC начали вручную устранять последствия пребывания вируса в системе, однако несколько электронных писем с вирусом с компьютеров ФБР все же ушло. ФБР отказалось, однако, сообщить журналистам, сколько именно файлов было украдено вирусом с компьютеров ФБР и, таким образом, ушло в необъятные просторы Сети.

Одной из самых неприятных особенностей вируса SirCam, эпидемия которого приобретает все более глобальные масштабы, является способность рассылать себя по Сети, прикрепляя свой код к случайным, вполне безобидным файлам, найденным на уже зараженном компьютере. Таким образом, как уже неоднократно предупреждал «Нетоскоп», у подобного способа маскировки и распространения появляется еще один побочный отрицательный эффект — возможность утечки с зараженного компьютера секретной информации, содержащейся в украденных файлах определенных форматов.

Вирус распространяется по электронной почте в виде прикрепленного файла со случайным именем и двойным расширением. Оба расширения выбираются вирусом случайно из набора: для первого расширения — .doc., .xls., .zip., ,exe., для второго расширения — .pif, .lnk, .bat, .com. Таким образом, прикрепленные файлы могут выглядеть по-разному. Например, так: feb01.xls.pif или normas.doc.bat.

При этом feb01.xls, normas.doc или любое другое «имя_файла.расширение» являются именами реальных файлов, украденных вирусом с предыдущего зараженного компьютера. «Захваченный» файл превращается в «приманку», маскирующую действия вредоносной программы.

Напоминаем, что, несмотря на свою весьма изощренную схему внедрения в систему, основанную на прикреплении вредоносного кода к случайным файлам, вирус имеет, по крайней мере, один постоянный признак: в теле письма, содержащего вирус в виде прикрепленного файла, обязательно есть постоянные первая и последняя фразы на английском или испанском: «Hi! How are you?» или «Hola como estas?» («Привет, как дела?») и «See you later. Thanks» или «Nos vemos pronto, gracias» («Спасибо, увидимся»).

Как сообщает «Лаборатория Касперского«, вирус написан на языке Delphi и живет в среде Win32. Таким образом, из заявления ФБР можно сделать по крайней мере один вывод: «Компьютеры подразделения ФБР по борьбе с кибер-преступлениями работают под управлением ОС Windows/32».

Компания Symantec оценила опасность вируса SirCam в 4 бала по пятибалльной шкале. Пока он не нанес серьезного ущерба, однако, на кое-какие деструктивные действия он все же способен: в зависимости от текущей даты и времени, вирус с вероятностью 5 процентов удаляет все файлы и поддиректории в директории Windows (по другим данным, таймер «удаления» настроен на конкретное число — 16 октября).

С вероятностью 2 процента при каждой загрузке компьютера червь создает файл SirCam.Sys в корневом каталоге текущего диска и записывает в него текст, из которого можно понять, что червь создан в Мексике. Каждая такая запись отнимает все больше и больше места. Кроме того, вирус прописывает себя в системном реестре Windows в секции автоматического запуска, а также ищет доступные для записи локальные диски и копирует себя на них, вызывая заражение всей локальной сети.

Бесплатную утилиту «Лаборатории Касперского» для выявления и удаления вируса SirCam можно скачать здесь.

ССЫЛКИ ПО ТЕМЕ


ФБР

National Infrastructure Protection Center

FBI cybercrime center unable to block virus — Agence France-Presse, 26.07.01

МАТЕРИАЛЫ ПО ТЕМЕ


Вирус-шпион SirCam — чемпион по рассылке секретных файлов25.07.01


Червь-трансформер SirCam хитер, вооружен и очень опасен20.07.01


Союз Журналистов