По Сети в диком виде расползается весьма опасный почтовый червь SirCam - компания Symantec оценила его в 4 бала по пятибалльной шкале. Правда, серьезного ущерба он пока не нанес - но может, ввиду исключительно хитроумной технологии внедрения, маскировки и распространения. В диком виде червь зафиксирован в Европе, Америке и Австралии.
Как сообщает "Лаборатория Касперского", вирус написан на языке Delphi, живет в среде Win32, распространяется по почте и по локальной сети. В зависимости от текущей даты и времени, вирус с вероятностью 5 процентов удаляет все файлы и поддиректории в директории Windows. А также с вероятностью 2 процента при каждой загрузке компьютера создает файл SirCam.Sys в корневом каталоге текущего диска и записывает в него текст, из которого, в частности, можно понять, что червь создан в Мексике. Каждая такая запись отнимает все больше и больше места.
Вирус распространяется по электронной почте в виде прикрепленного файла со случайным именем и двойным расширением. Оба расширения также выбираются вирусом случайно из набора: для первого расширения - .doc., .xls., .zip., ,exe., для второго расширения - .pif, .lnk, .bat, .com. Таким образом, прикрепленные файлы могут выглядеть, например, так: feb01.xls.pif или normas.doc.bat.
При этом feb01.xls, normas.doc или любое другое "имя_файла.расширение" являются именами реальных файлов, присутствующих в системе подвергшейся предыдущему заражению. При распространении червь берет реально существующий на компьютере файл с одним из указанных расширений и, присоединяя к нему свой исполняемый код, отсылает полученный результат по всем найденным в адресной книге адресам. "Захваченный" файл превращается в "приманку", маскирующую реальные действия вредоносной программы. Попав на новый компьютер, вирус пытается открыть "приманку" при помощи соответствующей программы (WinWord, например).
Таким образом, у подобного способа маскировки и распространения появляется и еще один побочный отрицательный эффект - возможность утечки с зараженного компьютера секретной информации, содержащейся в файлах указанных форматов.
В поле "Тема" зараженного сообщения содержится имя прикрепленного файла. Текст письма, которое написано либо на английском, либо на испанском языке, также генерится случайно из нескольких вариантов. Неизменны только первая и последняя фраза на английском или испанском: "Hi! How are you?" или "Hola como estas ?" ("Привет, как дела?") и "See you later. Thanks" или "Nos vemos pronto, gracias" (Спасибо, увидимся). Между этими двумя фразами случайным образом вставляется одна из четырех фраз.
Червь в процессе внедрения и сканирования системы создает несколько библиотек, в которых хранит различную служебную информацию: например в sdc.dll содержит имена файлов с подходящим первым расширением, в файлах sch1.dll и sci1.dll хранятся адреса электронной почты, найденные в системе. Возможно также создание файлов sct1.dll и scy1.dll для хранения другой необходимой информации.
При внедрении в систему червь копирует себя в различные директории под разными именами. В директорию c:\windows и c:\recycled под именем SirC32.exe; в системную директорию Windows под именем SCam32.exe и другие. При этом эти действия совершаются постепенно и в зависимости от различных факторов.
Кроме того, вирус прописывает себя в системном реестре Windows в секции автоматического запуска, а также ищет доступные для записи локальные диски и копирует себя на них, вызывая заражение всей локальной сети.
|
