Нетоскоп / Новости / Norton Antivirus не справляется с эпидемией SirCam

		Нетоскоп/Новости/31.07.2001 http://www.netoscope.ru/news/2001/07/31/3039.html Norton Antivirus не справляется с эпидемией SirCam Алексей Рерих 31.07.2001 14:02

Самым обновленным версиям антивирусного программного обеспечения самых разных производителей не удается справиться с эпидемией вируса SirCam. Программное обеспечение, рассчитанное на то, чтобы отфильтровывать письма, содержащие заразные вложения, пропускают вирус в почтовые ящики, в результате чего пользователи, уверенные в том, что им ничего не грозит, спокойно активизируют хитроумный вирус.

Как сообщает онлайновый журнал The Register, недавно было обнаружено, что ПО компании Baltimore Technologies, предназначенное для фильтрации файлов MIME (Multipurpose Internet Mail Extension - многоцелевые расширения почты Интернет), а также антивирусное ПО компании Symantec (Norton Antivirus v. 2.x для почтовых SMTP-шлюзов) не справляются с отфильтровыванием зараженных писем.

Еще раньше сообщалось, что даже в отделе ФБР по борьбе с компьютерными преступлениями новейшие версии антивирусного ПО не справились с вирусом SirCam и на одном из компьютеров подразделения вирус был активизирован, в результате чего произошла утечка в Сеть секретных документов.

При этом проблемы наблюдаются именно с обновленными версиями антивирусов, специально написанными для борьбы с новыми червями. Причина банальна: хитроумный вирус SirCam, распространяющийся в виде вложения в электронное письмо, каждый раз появляется в новом обличии, в виде файла произвольного размера со случайным именем и двойным расширением. Оба расширения выбираются вирусом из набора: для первого расширения - .doc, .xls, .zip, .exe, для второго расширения - .pif, .lnk, .bat, .com. Таким образом, прикрепленные файлы могут выглядеть по-разному. Например, так: feb01.xls.pif или normas.doc.bat.

При этом feb01.xls, normas.doc или любое другое "имя_файла.расширение" являются именами реальных файлов, украденных вирусом с предыдущего зараженного компьютера. "Захваченный" файл превращается в "приманку", маскирующую действия вредоносной программы, которая начинает рассылать зараженный файл по всем адресам, найденным в адресной книжке зараженного компьютера. Заголовок зараженного письма повторяет имя прикрепленного файла, то есть тоже оказывается разным от случая к случаю.

Таким образом, антивирусные программы, настроенные на определенный заголовок или имя прикрепленного файла, не способны идентифицировать вирус.

Вирус написан на языке Delphi и живет в среде Win32. Вирус также распространяется по локальной сети, заражая все обнаруженные им локальные диски. Таким образом, заражение одного корпоративного компьютера приводит к заражению всей системы.

Основной вредоносный эффект вируса заключается в замусоривании электронной почты огромными файлами. Кроме того, сами файлы, "похищаемые" вирусом с зараженных компьютеров и рассылаемые кому попало, зачастую содержат персональные или корпоративные секреты .

Несмотря на свою весьма изощренную схему внедрения в систему, основанную на прикреплении вредоносного кода к случайным файлам, вирус имеет, по крайней мере, один постоянный признак: в теле письма, содержащего вирус в виде прикрепленного файла, обязательно есть постоянные первая и последняя фразы на английском или испанском: "Hi! How are you?" или "Hola como estas?" ("Привет, как дела?") и "See you later. Thanks" или "Nos vemos pronto, gracias" ("Спасибо, увидимся").

Бесплатную утилиту "Лаборатории Касперского" для выявления и удаления вируса SirCam можно скачать здесь.

Напоминаем также, что самое эффективное средство борьбы с непрошеными программами, приходящими по почте в виде вложения - это просто не активизировать их. Не рекомендуется открывать файлы, присланные от неизвестных лиц или с подозрительными "темами", имеющие исполняемое или двойное расширение.

Рекомендуется также запретить почтовой программе Outlook Express самостоятельно открывать вложенные в письма файлы (зачастую по умолчанию эта функция разрешена, что и приводит к автоматическому запуску вируса). А некоторые решительно настроенные пользователи успешно борются с вирусом SirCam, вообще запрещая почтовым программам принимать письма с вложениями заданных типов, либо превышающие определенный размер (например, более 100К).