 |
 |
 |
|
 |
 |
 |
|
 |
|||
|
||||||||||||||||||||||||||
| I-WORM.SIRCAM.C |
|
|||||||
Tutte le informazioni sono state raccole da it.comp.sicurezza.virus, dall'AVP Virus Encyclopedia, e dal sito www.tiscali.it. Il nuovissimo virus sembra essere datato 16 luglio, di 'origini spagnole', sembra provenire dall'America Latina. E' l'ennesimo worm che si diffonde rapidamente tramite posta elettronica. Si tratta di un file EXE allegato di circa 130 kb, ma in realtà di grandezza variabile. Il worm, scritto in Delphi, ha infatti la capacità di appendere in coda a se stesso un file che trova nel nostro sistema, aumentando così le dimensioni dell'allegato e diffondendo nello stesso tempo informazioni prelevate dal nostro pc. I rischi sono quindi di trasmettere informazioni riservate violando la privacy dell'utente e di intasare la casella di posta elettronica che riceve email anche di notevoli dimensioni. Il worm può essere di difficile rimozione se non se ne conoscono tutte le caratteristiche. SirCam colloca infatti alcuni file nel cestino di Windows. Questa cartella non è solitamente esaminata dai software antivirus e si possono dover rimuovere manualmente tracce del worm all'interno di quest'ultima. COME INFETTA IL TUO PC Perché il worm infetti il nostro computer deve essere eseguito il file eseguibile, in genere l'allegato al messaggio di posta elettronica. Una volta eseguito si installa nel sistema ed invia se stesso tramite posta elettronica sotto forma di allegato. Una volta eseguito il worm copia se stesso in diverse directory così da rendere più difficoltosa l'eliminazione. Una volta individuata l'unità in cui è installato Windows (in genere C:\), il worm copia se stesso nelle seguenti cartelle: -) di Windows (in genere \WINDOWS) con il nome ScMx32.exe; -) di sistema di Windows (in genere \WINDOWS\SYSTEM) con il nome Scam32.exe; -) \RECYCLED, il cestino di Windows, con il nome SirC32.exe; -) di Esecuzione automatica di Windows con il nome Microsoft Internet Office.exe Tali azioni non si verificano necessariamente alla prima esecuzione del worm, e tali file sono visibili solo se impostata l'opzione di visualizzazione dei file nascosti. Il worm agisce ovviamente anche sul Registro di sistema con una serie di chiavi in HKEY_LOCAL_MACHINE\SOFTWARE\SirCam per archiviare i dati dell'infezione, e con le seguenti stringhe: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\RunServices Driver32 = C:\Windows\System\SCam32.exe HKEY_CLASSES_ROOT\exefile\shell\open\command (Predefinito) = C:\recycled\SirC32.exe Una volta eseguito il worm come detto può trasmettere informazioni riservate, estraendo nella cartella temporanea di Windows il file appeso in coda a se stesso ed eseguendolo se si tratta di un file EXE, o aprendolo con Winword.exe o Wordpad.exe se si tratta di un file DOC, con Excel.exe se XLS, con Winzip.exe se ZIP, o con altre applicazioni a questi associate. COME FUNZIONA Il file allegato come già per Hybris non è identificabile poiché il suo nome varia a seconda del file prelevato dal nostro pc. Il worm cerca sulla nostra macchina un file con estensione DOC (associato a Winword.exe o Wordpad.exe), XLS (associato a Excel.exe), ZIP (associato a Winzip.exe), o EXE, ed appende il contenuto del file in coda a una replica di se stesso, spedendo il tutto sotto forma di allegato con una doppia estensione. Il nome dell'allegato è determinato, come la prima estensione, dal file trovato, la seconda estensione può essere del tipo PIF, LNK, BAT, oppure COM. Il file testo.doc verrebbe quindi spedito come testo.doc.bat, ad es., e conterrebbe una copia del worm e del file testo.doc prelevato dal nostro pc. Il motivo per cui si pensa che il worm abbia origini spagnole e che il messaggio ricevuto può essere scritto in inglese o in spagnolo. Il testo, variabile nel corpo centrale, inizia e finisce sempre allo stesso modo, ed il messaggio sarà di questo tipo: Da: [indirizzo e-mail] A: [indirizzo e-mail] Oggetto: [nome del documento senza estensione] Hi! How are you? [Corpo centrale] See you later. Thanks oppure Da: [indirizzo e-mail] A: [indirizzo e-mail] Oggetto: [nome del documento senza estensione] Hola como estas? [Corpo centrale] Nos vemos pronto, gracias. dove il [Corpo centrale] varia a scelta tra le seguenti stringhe, in inglese: "I send you this file in order to have your advice"; "I hope you can help me with this file that I send"; "I hope you like the file that I sendo you"; "This is the file with the information that you ask for"; in spagnolo: "Te mando este archivo para que me des tu punto de vista"; "Espero me puedas ayudar con el archivo que te mando"; "Espero te guste este archivo que te mando"; "Este es el archivo con la información que me pediste". Il worm memorizza una serie di informazioni in falsi file DLL da lui creati, in particolare: -) in SCD.DLL la lista dei file con una delle estensioni scelte per il file da allegare (DOC, XLS, ZIP, o EXE); -) in SCH1.DLL e SCI1.DLL la lista degli indirizzi di posta elettronica trovati nei file del tipo SHO*, GET*, HOT*, *.HTM, *.WAB o altri, che il worm scansiona uno ad uno; -) in SCW1.DLL la lista degli indirizzi di posta elettronica trovati nella Rubrica di Windows; -) in SCT1.DLL e SCY1.DLL altri dati utili al worm. LA RETE SI COMPLICA Il worm può diffondersi anche utilizzando una rete locale. Il virus cerca principalmente la cartella \RECYCLED condivisa in scrittura, e vi scrive una copia di SirC32.exe. Se possibile modifica quindi il file AUTOEXEC.BAT inserendo alla fine la linea: @win \recycled\SirC32.exe Al successivo avvio il file sarà eseguito e se esiste la cartella \WINDOWS, il worm sostituisce con una copia di se stesso il file RUNDLL32.EXE, rinominando l'originale con il nome RUN32.EXE. Reimpostare il file RUNDLL32.EXE è l'operazione che spesso viene dimenticata, o può risultare difficoltosa. La copia del worm sostituitasi al file RUNDLL32.EXE ha dimensioni di 5 Kb, mentre l'originale è di 24 Kb, e corrisponde appunto al file RUN32.EXE in un sistema infetto da SirCam. Se si trovano difficoltà particolari per rinominare i file si può compiere l'operazione dal Prompt di MS-DOS, cancellando il falso RUNDLL32.EXE: C:\Windows\> attrib -h run32.exe C:\Windows\> ren run32.exe rundll32.exe IL 16 OTTOBRE Ma non finisce qui: il 16 ottobre può essere una data fatale per chi ha contratto il virus! Qualora infatti la data del sistema coincida con il 16 ottobre il worm, una volta eseguito, potrebbe cancellare tutto il contenuto dell'unità disco sulla quale si trova Windows, o anche creare un file SirCam.sys nella ROOT del disco o nella cartella \RECYCLED riempendo totalmente lo spazio disponibile scrivendo fino ad esaurimento dello spazio le seguenti stringhe: [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX] [SirCam Version 1.0 Copyright 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico] POSSIBILI SOLUZIONI Abbiamo visto come ripristinare il file RUNDLL32.EXE, ma la rimozione del virus in caso di rete locale può essere difficoltosa. Su it.comp.sicurezza.virus si consiglia di scollegare tutti i pc dalla rete, pulirli uno ad uno dal worm e ricollegarli in seguito, o in alternativa scollegarne uno alla volta, pulirlo, e ricollegarlo togliendo le condivisioni o proteggendolo con password. SirCam infatti si copia in rete locale da un pc infetto ad uno appena pulito magari mentre si svolge la stessa operazione su un altro. Sempre su it.comp.sicurezza.virus si consiglia in casi disperati, in cui si ricevono spesso email di dimensioni di diversi Mb, di introdurre con Outlook o simili un filtro che elimini i messaggi con allegati di dimensioni troppo grandi, non potendo però fare distinzione tra allegati che rigurdano il virus e allegati di altro tipo! Abbiamo infatti visto come non sia possibile impostare una regola sul subject o sul contenuto del testo entrambi variabili, e qualora si tentasse quest'ultima strada, per molti client sarebbe necessario comunque scaricare il messaggio per leggerne il corpo del testo! L'antidoto più efficace sembra essere il tool di Marcolfa, Sircam_sucks.vbs, scaricabile gratuitamente. Infine nella 'Sezione sicurezza' di www.tiscali.it si trova un interessante metodo di "Prevenzione sull'infezione". In caso di infezione da parte del worm su una postazione di una rete LAN è possibile prevenire la diffusione del virus nella LAN creando nella cartella \RECYCLED di ognuna delle postazioni un file di testo vuoto rinominato come SIRC32.EXE. Impostato il file come di 'Sola lettura', il worm trova già un file con il suo nome sul pc da infettare. Più recentemente Future Time ha rilasciato Nosircam, un nuovo tool che sembra essere in grado di ripristinare automaticamente le chiavi di Registro, e i file AUTOEXEC.BAT e RUNDLL32.EXE. |
| www.davidscerrati.too.it |