I-Worm/Sircam.A

Další roztomilý mazlíček se začal šířit včera ráno (našeho času). Jde o cca 134kB bubmbrdlíčka napsaného v Delphi.

Soudě dle zašifrovaných textů pochází z Mexika:

   [SirCam Version 1.0 Copyright (c) 2001 2rP
   Made in / Hecho en - Cuitzeo, Michoacan Mexico]

Tento text mimochodem obsahuje i v poněkud "odtučněné" verzi:

   [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

Posílá se mailem, který má jako subject jméno přiloženého souboru a jehož text sestavuje z těchto vět:

   Hi! How are you?
   See you later. Thanks
   I send you this file in order to have your advice
   I hope you can help me with this file that I send
   I hope you like the file that I sendo you
   This is the file with the information that you ask for

Pokud má uživatel ve Windows jako preferovaný jazyk nastavenou španělštinu, tak se tomu virus přizpůsobí:

   Hola como estas ?
   Nos vemos pronto, gracias.
   Te mando este archivo para que me des tu punto de vista
   Espero me puedas ayudar con el archivo que te mando
   Espero te guste este archivo que te mando
   Este es el archivo con la informacion que me pediste

Přiložený soubor je vytvořen z vlastního těla wormu, za kterým je připojen náhodně vybraný soubor (archív, dokument, spustitelný soubor) pocházející z infikovaného počítače. Původní jméno je zachováno, worm si pouze připojí další příponu (pif, lnk, bat nebo com).

Po spuštění se Sircam nakopíruje do několika různých adresářů pod různými jmény:

   SirC32.exe, SCam32.exe, SirC32.exe, ScMx32.exe,
   Microsoft Internet Office.exe a rundll32.exe

Poté zrekonstruuje kopii dokumentu, pod jehož jménem dorazil a pokud jde o EXE file, tak ho rovnou spustí (ve snaze nebýt příliš nápadný). Pro ostatní typy souboru se pokusí v

HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\

najít vhodnou aplikaci k otevření: Winzip pro .ZIP soubory, Excel pro .XLS a WinWord (nebo alespoň WordPad) pro .DOC.

Své pravidelné spouštění při startu počítače se snaží si zajistit zápisem do hodnoty Driver32 klíče

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

a modifikací klíče

HKCR\exefile\shell\open\command

(stejný trik používá například I-Worm/PrettyPark).

Jako většina novějších virů se i tento umí šířit po sdílených discích v rámci lokální sítě. Na namapovaných discích preferuje adresáře \recycled a \windows a své spouštění se pokusí zajistit vložením řádky @win a odkazem na virus do \autoexec.bat nebo tím, že zamění systémový soubor rundll32.exe svou kopii.

I-Worm/Sircam.A obsahuje několik škodlivých rutin. 16.října může vymazat všechny soubory na disku C:, popřípadě v adresáři C:\RECYCLED vytvoří soubor sircam.sys, do kterého zapisuje text

[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

[SirCam Version 1.0 Copyright (c) 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]

Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG