Алексей Рерих
В среду представитель США по связям с общественностью признала, что подразделению ФБР по борьбе с компьютерными преступлениями () не удалось противостоять эпидемии вируса SirCam. Во вторник один из компьютеров был случайно заражен, после чего вирус стал распространяться по всей системе.
Как сообщает агентство France-Presse, другой представитель ФБР заявил, что самая последняя версия коммерческой антивирусной программы, установленной на компьютерах подразделения, не смогла отследить процесс внедрения вируса в систему.
Сразу после обнаружения сотрудники NIPC начали вручную устранять последствия пребывания вируса в системе, однако несколько электронных писем с вирусом с компьютеров ФБР все же ушло. ФБР отказалось, однако, сообщить журналистам, сколько именно файлов было украдено вирусом с компьютеров ФБР и, таким образом, ушло в необъятные просторы Сети.
Одной из самых неприятных особенностей вируса SirCam, эпидемия которого приобретает все более глобальные масштабы, является способность рассылать себя по Сети, прикрепляя свой код к случайным, вполне безобидным файлам, найденным на уже зараженном компьютере. Таким образом, как уже , у подобного способа маскировки и распространения появляется еще один побочный отрицательный эффект – возможность утечки с зараженного компьютера секретной информации, содержащейся в украденных файлах определенных форматов.
Вирус распространяется по электронной почте в виде прикрепленного файла со случайным именем и двойным расширением. Оба расширения выбираются вирусом случайно из набора: для первого расширения – .doc., .xls., .zip., ,exe., для второго расширения – .pif, .lnk, .bat, .com. Таким образом, прикрепленные файлы могут выглядеть по-разному. Например, так: feb01.xls.pif или normas.doc.bat.
При этом feb01.xls, normas.doc или любое другое “имя_файла.расширение” являются именами реальных файлов, украденных вирусом с предыдущего зараженного компьютера. “Захваченный” файл превращается в “приманку”, маскирующую действия вредоносной программы.
Напоминаем, что, несмотря на свою весьма изощренную схему внедрения в систему, основанную на прикреплении вредоносного кода к случайным файлам, вирус имеет, по крайней мере, один постоянный признак: в теле письма, содержащего вирус в виде прикрепленного файла, обязательно есть постоянные первая и последняя фразы на английском или испанском: “Hi! How are you?” или “Hola como estas?” (“Привет, как дела?”) и “See you later. Thanks” или “Nos vemos pronto, gracias” (“Спасибо, увидимся”).
Как сообщает ““, вирус написан на языке Delphi и живет в среде Win32. Таким образом, из заявления ФБР можно сделать по крайней мере один вывод: “Компьютеры подразделения ФБР по борьбе с кибер-преступлениями работают под управлением ОС Windows/32”.
Компания Symantec оценила опасность вируса SirCam в 4 бала по пятибалльной шкале. Пока он не нанес серьезного ущерба, однако, на кое-какие деструктивные действия он все же способен: в зависимости от текущей даты и времени, вирус с вероятностью 5 процентов удаляет все файлы и поддиректории в директории Windows (по другим данным, таймер “удаления” настроен на конкретное число – 16 октября).
С вероятностью 2 процента при каждой загрузке компьютера червь создает файл SirCam.Sys в корневом каталоге текущего диска и записывает в него текст, из которого можно понять, что червь создан в Мексике. Каждая такая запись отнимает все больше и больше места. Кроме того, вирус прописывает себя в системном реестре Windows в секции автоматического запуска, а также ищет доступные для записи локальные диски и копирует себя на них, вызывая заражение всей локальной сети.
Бесплатную утилиту “Лаборатории Касперского” для выявления и удаления вируса SirCam можно .
 |
|
| ССЫЛКИ ПО ТЕМЕ |  |
|
|
| МАТЕРИАЛЫ ПО ТЕМЕ | |
Вирус-шпион SirCam – чемпион по рассылке секретных файлов – 25.07.01
Червь-трансформер SirCam хитер, вооружен и очень опасен – 20.07.01