23 lipca 2001

I-Worm.Sircam - usuwa pliki na dysku.

Jest to niebezpieczny robak rozprzestrzeniający się poprzez Internet oraz sieć lokalną. Szkodnik ma postać aplikacji Windows o rozmiarze około 130 kB napisanej w Delphi. Podczas rozprzestrzeniania robak może dołączać do swojego kodu różne pliki (DOC, XLS, ZIP i inne), w wyniku czego załączony do zainfekowanej wiadomości plik może mieć rozmiar większy niż 130 kB.

Po uruchomieniu robak instaluje się w systemie, wysyła zainfekowane wiadomości, atakuje komputery pracujące w lokalnej sieci (jeśli ich dyski udostępnione są z pełnym dostępem) i w zależności od daty systemowej uruchamia swoje procedury dodatkowe.

Rozprzestrzenianie poprzez pocztę elektroniczną

Robak rozsyła się z zainfekowanych maszyn jako plik załączony do wiadomości e-mail. Nazwa załącznika może być różna i zawiera dwa rozszerzenia:

nazwa_pliku.roz1.roz2

gdzie "roz1" zastępowane jest jednym z następujących: DOC, XLS, ZIP, EXE. Rozszerzenie "roz2" jest losowo wybierane z wariantów: PIF, LNK, BAT, COM.

Temat wiadomości wysyłanej przez robaka to "nazwa_pliku" (jest dokładnie taki sam jak nazwa załączonego pliku).

Treść wiadomości może być dwujęzyczna - angielska oraz hiszpańska. Pierwsza i ostatnia linia wiadomości jest zawsze taka sama:

pierwsza linia: Hi! How are you? Hola como estas?
ostatnia linia: See you later. Thanks Nos vemos pronto, gracias.

Poniżej znajdują się teksty, które mogą być umieszczone pomiędzy pierwszą i ostatnią linią wiadomości:

I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for

Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la información que me pediste

Aby uzyskać adresy "ofiar" robak skanuje pliki, które mogą je zawierać: SHO*, GET*, HOT*, *.HTM, *WAB. Rezultaty wyszukiwania zapisywane są w plikach DLL, które robak przechowuje w systemowym katalogu Windows:

  • plik SCD.DLL zawiera listę plików o rozszerzeniu "roz1"
  • pliki SCH1.DLL oraz SCI1.DLL zawierają listę znalezionych przez robaka adresów e-mail
  • plik SCW1.DLL zawiera listę adresów e-mail pobranych z książki adresowej systemu Windows (WAB)

Ponadto robak tworzy pliki SCT1.DLL oraz SCY1.DLL i przechowuje w nich dodatkowe informacje.

Instalacja w systemie

Robak kopiuje się do następujących miejsc:

  • do katalogu RECYCLED oraz WINDOWS z nazwą SirC32.exe
  • do katalogu systemowego Windows z nazwą SCam32.exe
  • do katalogu Windows z nazwą ScMx32.exe
  • do katalogu startowego Windows z nazwą "Microsoft Internet Office.exe"

Wszystkie pliki posiadają atrybut "ukryty".

Następnie robak umieszcza dwa pliki w sekcji auto-run rejestru systemowego:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Driver32 = %windows sytem directory%\SCam32.exe

HKCR\exefile\shell\open\command
SirC32.exe

Dodatkowo robak tworzy klucz rejestru wykorzystyway do przechowywania własnych danych. Nazwa tego klucza to HKLM\SOFTWARE\SirCam.

Rozprzestrzenianie poprzez sieć lokalną

Robak bada zasoby sieciowe (pobiera nazwy wszystkich udostępnionych katalogów) i rozprzestrzenia swoje kopie. Następnie szkodnik dodaje do pliku AUTOEXEC.BAT komendę @win \recycled\SirC32.exe

Jeśli na atakowanym dysku sieciowym znajduje się katalog Windows robak zmienia nazwę pliku RUNDLL32.EXE na RUN32.EXE i nadpisuje oryginalny plik swoją kopią.

Funkcje dodatkowe

W zależności od daty oraz czasu systemowego robak usuwa wszystkie pliki zapisane w katalogach znajdujących się na dysku z zainstalowanym systemem Windows.

Podczas każdego uruchomienia w jednym na 50 przypadków robak tworzy w głównym katalogu bieżącego dysku plik SirCam.Sys i zapisuje w nim jeden z poniższych tekstów:

[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

[SirCam Version 1.0 Copyright Š 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]

Robak zapisuje do pliku tekst aż do momentu całkowitego zapełnienia dysku.

Na szczęście wirus zawiera błąd i procedury te nie są uruchamiane w sposób jaki zamierzył autor szkodnika. Mimo to pierwsza procedura (usuwanie plików) uruchamiana jest w przypadku zmiany nazwy i uruchomienia kopii robaka: SIRC32.EXE, SCAM32.EXE oraz RUNDLL32.EXE.