Нетоскоп/Новости/25.07.2001 http://www.netoscope.ru/news/2001/07/25/2996.html Вирус-шпион SirCam - чемпион по рассылке секретных файлов Алексей Андреев 25.07.2001 15:46 |
||
В понедельник до российского Интернета докатилась эпидемия сетевого червя SirCam, о котором "Нетоскоп" предупреждал в пятницу. Вирус рассылает себя через Интернет в файлах, украденных с зараженных компьютеров. Таким образом вместе с вирусом в Сеть утекло уже множество секретных документов.
Как сообщает "Лаборатория Касперского", всего за 6 дней с момента обнаружения (18 июля, по другим данным 16 июля) сетевой червь SirCam распространился по всему миру и прочно занял первое место в списке наиболее распространенных вредоносных программ. Антивирусная компания Messagelabs сообщает, что отловила 11.500 копий вируса, присланных из 110 стран. Более 4.000 копий было задержано за одни только сутки с понедельника по вторник.
Вирус распространяется по электронной почте в виде прикрепленного файла со случайным именем и двойным расширением. Оба расширения также выбираются вирусом случайно из набора: для первого расширения - .doc., .xls., .zip., ,exe., для второго расширения - .pif, .lnk, .bat, .com. Таким образом, прикрепленные файлы могут выглядеть по-разному. Например, так: feb01.xls.pif или normas.doc.bat.
При этом feb01.xls, normas.doc или любое другое "имя_файла.расширение" являются именами реальных файлов, украденных вирусом с предыдущего зараженного компьютера. При распространении червь берет реально существующий на компьютере файл с одним из указанных расширений и, присоединяя к нему свой код, отсылает полученный результат по всем найденным в адресной книге адресам. "Захваченный" файл превращается в "приманку", маскирующую действия вредоносной программы. Попав на новый компьютер, вирус пытается открыть "приманку" при помощи соответствующей программы (WinWord, например). В поле "Тема" зараженного сообщения содержится имя файла, украденного с зараженного компьютера.
Таким образом, у подобного способа маскировки и распространения появляется и еще один побочный отрицательный эффект - возможность утечки с зараженного компьютера секретной информации, содержащейся в украденных файлах данных форматов. Конечно, прямо открывать присланные зараженные файлы не стоит. Однако их код можно просматривать в специальных программах типа FAR Viewer, что позволяет увидеть, помимо вредоносного кода, еще и содержание файла.
Для примера того, какого рода информация может "утечь", приведем лишь несколько названий файлов, присланных за два дня выпускающему редактору "Нетоскопа" с различных зараженных компьютеров:
"Трудности разработки законодательства",
"Competitive Intelligence",
"ДОГОВОР на оказание услуг",
"Manual to negotiate with girl".
Коллеги-журналисты сообщают о получении таким же путем "ОТЧЕТОВ О ДЕНЕЖНЫХ СРЕДСТВАХ" и других ценных документов "с цифрами, адресами и явками".
Еще одним неприятным отличием вируса SirCam является его размер: поскольку вирус «цепляет» случайные файлы, они могут оказаться очень большими. Автор данных строк получил уже с десяток зараженных писем, каждое из которых весит по нескольку сот килобайт. Как сообщает BBC, на сегодняшний день самый большой файл, который вирусу удалось отправить в рассылку, имеет размер 107 мегабайт.
Текст письма с вложенным вирусом написан либо на английском, либо на испанском языке и тоже генерируется случайно из нескольких вариантов. Неизменны только первая и последняя фраза на английском или испанском: "Hi! How are you?" или "Hola como estas?" ("Привет, как дела?") и "See you later. Thanks" или "Nos vemos pronto, gracias" (Спасибо, увидимся). В России наибольшее распространение имеет вирусное письмо со следующим текстом -
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
Как сообщает "Лаборатория Касперского", вирус написан на языке Delphi, живет в среде Win32. Компания Symantec оценила его в 4 бала по пятибалльной шкале. Пока он не нанес серьезного ущерба, однако на кое-какие деструктивные действия он все же способен: в зависимости от текущей даты и времени, вирус с вероятностью 5 процентов удаляет все файлы и поддиректории в директории Windows (по другим данным, таймер «удаления» настроен на конкретное число 16 октября).
С вероятностью 2 процента при каждой загрузке компьютера червь создает файл SirCam.Sys в корневом каталоге текущего диска и записывает в него текст, из которого можно понять, что червь создан в Мексике. Каждая такая запись отнимает все больше и больше места.
Кроме того, вирус прописывает себя в системном реестре Windows в секции автоматического запуска, а также ищет доступные для записи локальные диски и копирует себя на них, вызывая заражение всей локальной сети.
Бесплатную утилиту "Лаборатории Касперского" для выявления и удаления вируса SirCam можно
Copyright © 2000-2002 Нетоскоп www.netoscope.ru |