Sircam vede žebříčky

Ač je to už více než rok, co se v počítačovém světě objevil e-mailový červ Sircam, stále mu patří čestné pře...


Ač je to už více než rok, co se v počítačovém světě objevil e-mailový červ
Sircam, stále mu patří čestné přední příčky všech virových hitparád. Opouští je
jen zřídka.
Možná i vy patříte k těm "šťastlivcům", kterým do e-mailové schránky dorazil
vzkaz s následujícím sdělením:
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
Jedná se o poměrně nebezpečného e-mailového červa, který je schopen se šířit
pomocí internetu, ale stejně tak dobře i prostřednictvím lokální sítě.

Oč jde
Sircam je aplikace napsaná v Delphi a má velikost cca 130 kilobajtů. Při šíření
je ovšem schopna do svého těla posbírat další data, takže výsledná velikost
může uvedených 130 kilobajtů i výrazně převyšovat.
Jakmile je Sircam v počítači spuštěn (nejčastěji kliknutím na přílohu e-mailu),
instaluje se do systému a do světa rozesílá infikované zprávy s připojenou
kopií sebe sama. Dále je schopen infikovat též počítače v lokální síti (pokud
jsou jejich disky sdílené pro plný přístup). V závislosti na systémovém datu
vykonává svou hlavní rutinu.
Sircam se šíří v souboru ve tvaru "název.přípona1.přípona2", přičemž "přípona1"
může být doc, xls, zip či exe a "přípona2" pif, lnk, bat nebo com. Jméno
přílohy je zopakováno i v předmětu e-mailu. V napadeném počítači si škodlivý
kód vybere nejčastěji dokument doc, xls či zip a následně si přivlastní jeho
jméno (název.přípona1) i obsah. Ten si Sircam zapíše do svého těla (viz výše
zmíněný nárůst velikosti). Infikovaný soubor odesílaný z napadeného počítače
tak obsahuje dvě části (byť navenek se jeví jako jednolitý): vlastní programový
kód viru a jednak náhodně vybraná (či spíše ukradená) data z napadeného stroje.
Při spuštění Sircamu v dalším počítači pak dochází ke spuštění vlastní škodlivé
rutiny. Ta následně extrahuje data z ukradeného dokumentu a snaží se je
podstrčit příslušné aplikaci. V praxi to znamená, že pokud si Sircam přivlastní
soubor text.doc, světem se dále šíří jako text.doc.pif (nebo jiná přípona).
Takto přijde k dalšímu uživateli (pokud má v poštovním klientovi nastaveno
"nezobrazovat známé přípony", pak vidí pouze text.doc tedy jen název souboru).
Zde je po spuštění vykonána vlastní rutina a následně dojde k extrahování
původních dat souboru text.doc a jejich předání příslušnému programu v daném
případě textovému editoru.

Více adresářů
Sircam byl prvním e-mailovým červem, který získával adresy nejen procházením
kontaktů v poštovním klientovi či odpovídáním na skutečné elektronické dopisy,
ale hledal také v souborech sho*, get*, hot*, *.htm apod. V praxi to znamenalo,
že stačilo, aby se vaše e-mailová adresa objevila na nějaké webové stránce, a
už chodily desítky sircamů od zcela neznámých lidí.
V systémovém adresáři Windows si tento škodlivý kód vytváří některé pomocné
soubory, které využívá pro svou práci:
scd.dll obsahuje seznamu souborů, k jejichž odcizení z počítače došlo (tedy
soubory výše označované název.přípona1)
sch1.dll a sci1.dll obsahují seznam e-mailových adres nalezených v počítači
scw1.dll obsahuje seznam kontaktů z WAB (Windows Address Book)
sct1.dll a scy1.dll (nevznikají vždy) nesou další pracovní data pro Sircam

Po vstupu
Po vstupu do počítače se Sircam kopíruje hned na čtyři místa. Jednak do
systémového adresáře Windows pod názvem scam32.exe, dále do vlastního adresáře
Windows jako scmx32.exe. Naleznete jej i ve složce "spustit po startu" jako
aplikaci "Microsoft Internet Office.exe". A konečně: sirc32.exe se "zabydluje"
ve složce Recycled (Odpadkový koš). Tu totiž některé antivirové programy v
rámci snahy o vyšší rychlost kontroly počítače při testech on-demand (na
vyžádání) vynechávaly. Všechny tyto soubory mají atributy nastavené jako
skryté. Informace o Sircamu můžete najít i v následujícím registru:
hkmlsoftwaresircam.
Přes lokální síť se červ šíří tak, že nejprve zjistí možnosti sdílení okolních
počítačů. Pokud je mezi sdílenými adresáři také odpadkový koš (recycled),
nakopíruje se sem červ pod názvem sirc32.exe. A aby si zajistil svou aktivaci v
případě potřeby, přidá do autoexec.bat příkaz: @win recycledSirC32.exe. Pokud
najde mezi sdílenými složku Windows, přejmenuje soubor rundll32.exe na
run32.exe a původní nahradí svou kopií.
V závislosti na systémovém datu a čase Sircam náhodně s pravděpodobností jedna
ku dvaceti vymaže všechny soubory ve všech adresářích na disku, kde jsou
instalovány Windows, a smaže také tyto adresáře (nejen jejich obsah). Navíc při
každém (re)startu počítače s pravděpodobností jedna ku padesáti červ vytvoří
Sircam.soubor sys v rootu aktuálního adresáře a zapíše tam jeden ze dvou textů:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright ň 2001 2rP Made in / Hecho en Cuitzeo, Michoacan
Mexico]
Červ se do souboru pokouší zapsat tento text tolikrát, kolikrát se vejde na
disk. Naštěstí je v kódu viru chybička, a zmíněné nepříjemné rutiny nejsou za
normálních okolností spouštěny.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.