Союз Журналистов
 / Новости / 25.07.2001
Нетоскоп
Новости

Новости
ИЮНЬ ИЮЛЬ АВГУСТ
ПН ВТ СР ЧТ ПТ СБ ВС
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31
2000 год 2001 2002 год

Форум
Клиенты подали в суд на PayPal за закрытие счетов (17)
Корейцы завалили сервер Олимпийского комитета США (6)
На "Газете.ру" решают судьбу российской олимпийской сборной (10)
"Коммерсант" опубликовал Топ-100 IT-менеджеров (11)
Новый сайт "За стеклом" сделал Павел Черкашин (13)
К 2020 году роботы получат гражданские права (10)
Физматшкола 239 компьютеризирована на пиратские деньги (22)
Японцы пытались сорвать сахалинский референдум (219)
Сергей Покровский: "Первые русские хакеры были работниками НИИ" (101)

Союз Журналистов

Разделы

     Вирус-шпион SirCam - чемпион по рассылке секретных файлов
Алексей Андреев

25.07.2001 15:46

версия для печати

В понедельник до российского Интернета докатилась эпидемия сетевого червя SirCam, о котором "Нетоскоп" предупреждал в пятницу. Вирус рассылает себя через Интернет в файлах, украденных с зараженных компьютеров. Таким образом вместе с вирусом в Сеть утекло уже множество секретных документов.

Как сообщает "Лаборатория Касперского", всего за 6 дней с момента обнаружения (18 июля, по другим данным – 16 июля) сетевой червь SirCam распространился по всему миру и прочно занял первое место в списке наиболее распространенных вредоносных программ. Антивирусная компания Messagelabs сообщает, что отловила 11.500 копий вируса, присланных из 110 стран. Более 4.000 копий было задержано за одни только сутки с понедельника по вторник.

Вирус распространяется по электронной почте в виде прикрепленного файла со случайным именем и двойным расширением. Оба расширения также выбираются вирусом случайно из набора: для первого расширения - .doc., .xls., .zip., ,exe., для второго расширения - .pif, .lnk, .bat, .com. Таким образом, прикрепленные файлы могут выглядеть по-разному. Например, так: feb01.xls.pif или normas.doc.bat.

При этом feb01.xls, normas.doc или любое другое "имя_файла.расширение" являются именами реальных файлов, украденных вирусом с предыдущего зараженного компьютера. При распространении червь берет реально существующий на компьютере файл с одним из указанных расширений и, присоединяя к нему свой код, отсылает полученный результат по всем найденным в адресной книге адресам. "Захваченный" файл превращается в "приманку", маскирующую действия вредоносной программы. Попав на новый компьютер, вирус пытается открыть "приманку" при помощи соответствующей программы (WinWord, например). В поле "Тема" зараженного сообщения содержится имя файла, украденного с зараженного компьютера.

Таким образом, у подобного способа маскировки и распространения появляется и еще один побочный отрицательный эффект - возможность утечки с зараженного компьютера секретной информации, содержащейся в украденных файлах данных форматов. Конечно, прямо открывать присланные зараженные файлы не стоит. Однако их код можно просматривать в специальных программах типа FAR Viewer, что позволяет увидеть, помимо вредоносного кода, еще и содержание файла.

Для примера того, какого рода информация может "утечь", приведем лишь несколько названий файлов, присланных за два дня выпускающему редактору "Нетоскопа" с различных зараженных компьютеров:

"Трудности разработки законодательства",
"Competitive Intelligence",
"ДОГОВОР на оказание услуг",
"Manual to negotiate with girl".

Коллеги-журналисты сообщают о получении таким же путем "ОТЧЕТОВ О ДЕНЕЖНЫХ СРЕДСТВАХ" и других ценных документов "с цифрами, адресами и явками".

Еще одним неприятным отличием вируса SirCam является его размер: поскольку вирус «цепляет» случайные файлы, они могут оказаться очень большими. Автор данных строк получил уже с десяток зараженных писем, каждое из которых весит по нескольку сот килобайт. Как сообщает BBC, на сегодняшний день самый большой файл, который вирусу удалось отправить в рассылку, имеет размер 107 мегабайт.

Текст письма с вложенным вирусом написан либо на английском, либо на испанском языке и тоже генерируется случайно из нескольких вариантов. Неизменны только первая и последняя фраза на английском или испанском: "Hi! How are you?" или "Hola como estas?" ("Привет, как дела?") и "See you later. Thanks" или "Nos vemos pronto, gracias" (Спасибо, увидимся). В России наибольшее распространение имеет вирусное письмо со следующим текстом -

Hi! How are you?

I send you this file in order to have your advice

See you later. Thanks

Как сообщает "Лаборатория Касперского", вирус написан на языке Delphi, живет в среде Win32. Компания Symantec оценила его в 4 бала по пятибалльной шкале. Пока он не нанес серьезного ущерба, однако на кое-какие деструктивные действия он все же способен: в зависимости от текущей даты и времени, вирус с вероятностью 5 процентов удаляет все файлы и поддиректории в директории Windows (по другим данным, таймер «удаления» настроен на конкретное число – 16 октября).

С вероятностью 2 процента при каждой загрузке компьютера червь создает файл SirCam.Sys в корневом каталоге текущего диска и записывает в него текст, из которого можно понять, что червь создан в Мексике. Каждая такая запись отнимает все больше и больше места.

Кроме того, вирус прописывает себя в системном реестре Windows в секции автоматического запуска, а также ищет доступные для записи локальные диски и копирует себя на них, вызывая заражение всей локальной сети.

Бесплатную утилиту "Лаборатории Касперского" для выявления и удаления вируса SirCam можно скачать здесь.

Обсудить в форуме (Сообщений : 13)

ССЫЛКИ ПО ТЕМЕ
Сетевой червь "SirCam" безопасен для пользователей Антивируса Касперского - "Лаборатория Касперского", 19.07.01
Описание вируса в "Большой вирусной энциклопедии" "Лаборатории Касперского"

МАТЕРИАЛЫ ПО ТЕМЕ
Червь-трансформер SirCam хитер, вооружен и очень опасен - 20.07.01


Союз Журналистов

ПРЕСС-РЕЛИЗЫ
Yellow NewsPillow
Возрождение легендарной NewsPillow

АИСТ
Стартует дилерская программа ASP-сервиса SiteManager для веб-студий

Caravan
Караван отменяет все регистрационные платежи на виртуальном хостинге и на размещение физических серверов (Colocation)

Экспресс-Интернет
Система управления сайтом для Веб-студий, а не для Владельцев сайтов. Экспресс-Интернет.

"Логика Бизнеса"
Мария Каменнова вошла в TOP-100 отечественной ИТ-индустрии

Copyright © 2000-2002 Нетоскоп
Информация о сайте

Hosted by uCoz