|
|
|
|
Новости о вирусах и антивирусах |
18 июля 2001 г. новый компьютерный вирус-червь SirCam начал стремительно распространяться в сети Интернет. Впервые вирус был обнаружен 17 июля. Буквально через несколько дней SirCam вызвал всемирную эпидемию, самую масштабную в этом году.
Антивирус Doctor Web умеет обнаруживать вирус SirCam с 17 июля, т.е. одним из первых. В России эпидемия началась существенно позже. Первые обращения в службу технической поддержки ДиалогНауки зарегистрированы 20 июля. За прошедшую неделю зафиксировано несколько сотен обращений от пользователей, пострадавших от действий вируса.
Как и для других вирусов-червей, массовое распространение вируса SirCam увеличивает нагрузку на сеть и особенно на почтовые сервера. Кроме этого, вирус содержит деструктивную функцию, которая заключается в удалении файлов на жестком диске инфицированного компьютера (активируется при соблюдении некоторых условий). Но основная опасность вируса SirCam - утечка конфиденциальной информации. По всему миру зарегистрированы случаи передачи файлов, содержащих коммерческую, деловую и секретную информацию, доступ к которой для обычных пользователей закрыт.
Дело в том, что вирус SirCam ищет на инфицированном компьютере файлы ZIP, DOC или XLS, случайным образом выбирает один из них и высылает этот файл от имени пользователя по какому-либо e-mail адресу, найденному на этом компьютере. К высылаемому файлу вирус прикрепляет себя. В результате такой схемы распространения с инфицированного компьютера может быть отправлен без ведома владельца любой файл.
Чтобы подтолкнуть пользователя открыть полученное письмо, вирус SirCam использует новый психологический прием - маскировка под деловую переписку. Отчасти, благодаря этому приему вирус получил такое широкое распространение.
Более подробное описание вируса-червя Win32.HLLW.SirCam см. ниже.
Для защиты от вирусов-червей ДиалогНаука рекомендует пользоваться свежими версиями антивирусных программ и самое главное - критично относиться к получаемым по электронной почте файлам. Сейчас электронная почта становится основным способом распространения новых вирусов. Немного осторожности - и вы сможете уберечь ваши данные от порчи и утечки.
Описание вируса Win32.HLLW.SirCam
Вирусная программа-червь, поражающая компьютеры под управлением операционных систем семейства Windows. Распространяется путем рассылки своих копий по электронной почте. Кроме того, вирус может распространяться по локальной сети, заражая компьютеры, диски которых являются разделяемыми сетевыми ресурсами, доступными для записи.
По электронной почте Win32.HLLW.SirCam рассылает себя следующим образом.
Адреса для рассылки вирус получает путем сканирования содержимого ряда файлов зараженного компьютера, в которых с высокой вероятностью можно встретить актуальные адреса e-mail. Например, это файлы адресных книг Windows, html-файлы и др.
Текст письма может быть на испанском или английском языке и выглядит следующим образом.
В английском варианте:
первая строка: Hi! How are you?
затем идет строка, случайно выбранная из четырех возможных вариантов:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
последняя строка: See you later. Thanks
В испанском варианте:
первая строка: Hola como estas ?
затем идет строка, случайно выбранная из четырех возможных вариантов:
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informaciуn que me pediste
последняя строка: Nos vemos pronto, gracias.
В письмо вирус включает себя в виде вложенного файла с произвольным именем и с двойным расширением. В результате может получиться, например, нечто вроде: "OTCH992A.doc.com", "ANUNCIOS_PRENSA_2001.xls.pif" и т.п.
В поле темы (subject) письма вирус использует имя вложенного файла; причем только имя, без расширений.
Имеется следующая характерная особенность. Помимо основной программы-вируса (около 130Kb), в отсылаемый файл дописывается еще и содержимое одного случайно выбранного "местного" файла - в частности, вирус использует имеющиеся на зараженном компьютере DOC, XLS и ZIP файлы. В дальнейшем, будучи запущен получателем письма, вирус попытается открыть "прицепленный" к нему файл одной из соответствующих популярных программ (EXCEL.EXE, WINZIP.EXE и т.д.) и тем самым замаскировать факт своего запуска. В качестве побочного эффекта такой механизм распространения может привести к утечке с зараженного компьютера той или иной конфиденциальной информации.
Для заражения компьютера, на котором он был запущен, вирус выполняет следующие действия.
(1) Создает свою копию с именем Sirc32.exe в каталоге C:\Recycled\ и изменяет значение по умолчанию ключа реестра HKEY_CLASSES_ROOT\exefile\shell\open\command на "C:\recycled\sirc32.exe "%1" %*"
В результате система начинает считать, что программа "C:\recycled\sirc32.exe" является необходимой для запуска любых EXE-файлов. Для восстановления работоспособности системы после удаления вируса, значение данного ключа реестра необходимо восстановить (стандартно оно равно ""%1" %*").
Современные версии DrWeb for Windows'95-2000 с установленными последними обновлениями вирусной базы пытаются автоматически выполнить необходимую коррекцию реестра при лечении системы от данного вируса. Однако, если автоматически поправить реестр по каким-либо причинам окажется невозможным, то для решения проблемы потребуется проделать это вручную. Либо при помощи редактора реестра (regedit.exe в основном каталоге Windows), предварительно переименовав его в regedit.com, чтобы можно было его запустить. Либо можно импортировать соответствующий фрагмент реестра из файла opencomm.reg - для коррекции реестра этот файл нужно просто открыть (скажем, двойным кликом левой кнопки мыши) на пострадавшем компьютере.
(2) Вирус создает свою копию с именем scam32.exe в системном каталоге Windows и регистрирует ее, как автозапускаемый системный сервис в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices следующим образом: Driver32=%System%\scam32.exe
(3) В некоторых случаях (и с очень маленькой вероятностью) вирус также может создавать свою копию с именем Scmx32.exe в основном каталоге Windows, а также с именем "Microsoft Internet Office.exe" в каталоге, указанном ключом реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Shell Folders\Startup
Для заражении компьютеров, доступных через ЛВС, вирус пытатеся проделать следующую последовательность действий.
(1) создать свою копию \\<Computer>\Recycled\Sirc32.exe
(2) добавить строку"@win \recycled\sirc32.exe" в файл \\<Computer>\Autoexec.bat
(3) заместить файл \\<Computer>\Windows\Rundll32.exe вирусной программой, правда, предварительно скопировав оригинальный Rundll32.exe под именем Run32.exe.
Вирус содержит деструктивную функцию. Она состоит в удалении информации с дисков зараженного компьютера и активируется с небольшой вероятностью при выполнении ряда условий.
Информационная служба ЗАО "ДиалогHаука"
E-mail: Antivir@antivir.ru
WWW: http://www.antivir.ru
|
Получить информацию о других интересных вирусах |