Алексей Андреев
В понедельник до российского Интернета докатилась эпидемия сетевого червя SirCam, о котором «Нетоскоп» предупреждал в пятницу. Вирус рассылает себя через Интернет в файлах, украденных с зараженных компьютеров. Таким образом вместе с вирусом в Сеть утекло уже множество секретных документов.
Как сообщает «Лаборатория Касперского», всего за 6 дней с момента обнаружения (18 июля, по другим данным — 16 июля) сетевой червь SirCam распространился по всему миру и прочно занял первое место в списке наиболее распространенных вредоносных программ. Антивирусная компания Messagelabs сообщает, что отловила 11.500 копий вируса, присланных из 110 стран. Более 4.000 копий было задержано за одни только сутки с понедельника по вторник.
Вирус распространяется по электронной почте в виде прикрепленного файла со случайным именем и двойным расширением. Оба расширения также выбираются вирусом случайно из набора: для первого расширения — .doc., .xls., .zip., ,exe., для второго расширения — .pif, .lnk, .bat, .com. Таким образом, прикрепленные файлы могут выглядеть по-разному. Например, так: feb01.xls.pif или normas.doc.bat.
При этом feb01.xls, normas.doc или любое другое «имя_файла.расширение» являются именами реальных файлов, украденных вирусом с предыдущего зараженного компьютера. При распространении червь берет реально существующий на компьютере файл с одним из указанных расширений и, присоединяя к нему свой код, отсылает полученный результат по всем найденным в адресной книге адресам. «Захваченный» файл превращается в «приманку», маскирующую действия вредоносной программы. Попав на новый компьютер, вирус пытается открыть «приманку» при помощи соответствующей программы (WinWord, например). В поле «Тема» зараженного сообщения содержится имя файла, украденного с зараженного компьютера.
Таким образом, у подобного способа маскировки и распространения появляется и еще один побочный отрицательный эффект — возможность утечки с зараженного компьютера секретной информации, содержащейся в украденных файлах данных форматов. Конечно, прямо открывать присланные зараженные файлы не стоит. Однако их код можно просматривать в специальных программах типа FAR Viewer, что позволяет увидеть, помимо вредоносного кода, еще и содержание файла.
Для примера того, какого рода информация может «утечь», приведем лишь несколько названий файлов, присланных за два дня выпускающему редактору «Нетоскопа» с различных зараженных компьютеров:
«Трудности разработки законодательства»,
«Competitive Intelligence»,
«ДОГОВОР на оказание услуг»,
«Manual to negotiate with girl».
Коллеги-журналисты сообщают о получении таким же путем «ОТЧЕТОВ О ДЕНЕЖНЫХ СРЕДСТВАХ» и других ценных документов «с цифрами, адресами и явками».
Еще одним неприятным отличием вируса SirCam является его размер: поскольку вирус «цепляет» случайные файлы, они могут оказаться очень большими. Автор данных строк получил уже с десяток зараженных писем, каждое из которых весит по нескольку сот килобайт. Как сообщает BBC, на сегодняшний день самый большой файл, который вирусу удалось отправить в рассылку, имеет размер 107 мегабайт.
Текст письма с вложенным вирусом написан либо на английском, либо на испанском языке и тоже генерируется случайно из нескольких вариантов. Неизменны только первая и последняя фраза на английском или испанском: «Hi! How are you?» или «Hola como estas?» («Привет, как дела?») и «See you later. Thanks» или «Nos vemos pronto, gracias» (Спасибо, увидимся). В России наибольшее распространение имеет вирусное письмо со следующим текстом —
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
Как сообщает «Лаборатория Касперского», вирус написан на языке Delphi, живет в среде Win32. Компания Symantec оценила его в 4 бала по пятибалльной шкале. Пока он не нанес серьезного ущерба, однако на кое-какие деструктивные действия он все же способен: в зависимости от текущей даты и времени, вирус с вероятностью 5 процентов удаляет все файлы и поддиректории в директории Windows (по другим данным, таймер «удаления» настроен на конкретное число — 16 октября).
С вероятностью 2 процента при каждой загрузке компьютера червь создает файл SirCam.Sys в корневом каталоге текущего диска и записывает в него текст, из которого можно понять, что червь создан в Мексике. Каждая такая запись отнимает все больше и больше места.
Кроме того, вирус прописывает себя в системном реестре Windows в секции автоматического запуска, а также ищет доступные для записи локальные диски и копирует себя на них, вызывая заражение всей локальной сети.
Бесплатную утилиту «Лаборатории Касперского» для выявления и удаления вируса SirCam можно .
 |
|
| ССЫЛКИ ПО ТЕМЕ |  |
|
|
| МАТЕРИАЛЫ ПО ТЕМЕ | |
Червь-трансформер SirCam хитер, вооружен и очень опасен — 20.07.01