Autor: root (linux_at_box43.pl)
Data: Thu 02 Aug 2001 - 15:25:01 MET DST
Sircam jest robakiem internetowym o sposobie działanie podobnym do innego
robaka - Magistra. Robak rozsyła się pocztą elektroniczną oraz zawiera
procedury destrukcyjne.
Zwykle robak pojawia się w komputerze ofiary w postaci pliku załącznika do
listu elektronicznego. skomponowanego losowo z następujących komponentów w
dwóch wersjach językowych: angielskiej i hiszpańskiej.
Temat: <nazwa pliku załącznika>
Treść: Hi! How are you?
<losowo jedno z poniższych zdań>
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send you
This is the file with the information that you ask for
See you later. Thanks
Załącznik: <nazwa pliku z pulpitu>.<doc, xls, zip lub exe>.<pif, bat, com,
lnk, exe>
Temat: <nazwa pliku załącznika>
Treść: Hola como estas ?
<losowo jedno z poniższych zdań>
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste
Nos vemos pronto, gracias.
Załącznik: <nazwa pliku z pulpitu>.<doc, xls, zip lub exe>.<pif, bat, com,
lnk. exe>
Po uruchomieniu przez użytkownika pliku załączniku robak akywizuje się
tworząc własne kopie w plikach o nazwie identycznej jak nazwa pliku
załącznika w katalogu tymczasowym oraz w katalogu Kosza - c:\recycled.
Następnie kopia na dysku twardym jest uruchamiana. Dodatkowo robak tworzy
własną kopię w plikach c:\recycled\sirc32.exe oraz scam32.exe w katalogu
systemu Windows, a także modyfikuje rejestr tak by kopia w pliku scam32.exe
była uruchamiana przy każdym starcie systemu Windows. Ponadto robak tworzy
swój własny klucz w rejstrze, w którym przechowuje informacje potrzebne do
masowej wysyłki za pomocą poczty elektronicznej:
HKEY_LOCAL_MACHINE\Software\SirCam. Na koniec zmian w rejestrze robak
zmienia wartość dotyczącą uruchamiania plików z rozszerzeniami exe, czego
efektem jest uruchamianie robaka przy każdym uruchomieniu tego typu pliku.
Sircam tworzy na dysku plik c:\recycled\sircam.sys, w którym umieszcza
nieprzerwanie tekst [SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX] aż do momentu
zapełnienia całego wolnego miejsca na dysku. Ponadto z prawdopodobieństwem 1
na 20 uruchamiana jest procedura destrukcyjna polegająca na usuwaniu 16
października wszystkich plików z dysku c:.
Robak infekuje również poprzez sieć lokalną komputery posiadające
udostępnione całe dyski twarde w następujący sposób - tworząc własną kopię w
pliku: c:\recycled\sirc32.exe oraz dodając do pliku autoexec.bat linijkę
wywołującą kopię robaka @win \recycled\sirc32.exe. Dodatkowo zamienia na
infekowanym w ten sposób komputerze plik rundll32.exe na własną kopię, a
oryginalny plik zapisuje pod nazwą run32.exe
Z prawdopodobieństwem 1/33 SirCam tworzy własną kopię w pliku scmx32.exe w
katalogu systemu Windows oraz w pliku Microsoft Internet Office.exe w
katalogu Autostartu.
Do rozsyłania kopii za pomocą poczty elektronicznej robak używa własnego
silnika SMTP, natomiast adresy pobiera z plików książek adresowych z
rozszerzeniem wab oraz z plików znajdujących się w cache'u przeglądarki
internetowej. Dołącza do wysyłanych przez siebie listów elektronicznych
specjalnie spreparowany plik będący jego własną kopią z dołączonym plikiem z
rozszerzeniami doc, xls, zip, exe znalezionym na Pulpicie i dodanym na końcu
rozszerzeniem pif, bat, com, lnk, exe.
-- root
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Tue 18 May 2004 - 22:36:00 MET DST