Izberite jezik

SI-CERT 2001-06 / Črv Sircam

31.07.2001

Tipi ranljivih sistemov

Vse verzije Microsoft Windows operacijskih sistemov.

Opis

Črv Sircam (druga imena: I-Worm.Sircam, W32.Sircam, W32/SircCam) se širi preko elektronske pošte in omrežno dostopnih diskov (Windows Share). Zadnje dni opažamo masovno širjenje tega črva tudi po slovenskih omrežjih.

Po namestitivi filtrov na ARNES poštnih strežnikih smo opazili sorazmerno veliko število kopij črva, ki so prihajale od vsepovsod. Spodnji graf kaže število zavrnjenih kopij po dnevih (manjše število 28. in 29. julija gre pripisati manjši uporabi interneta med vikendom).

Širjenje preko elektronske pošte

Črv se širi kot pripona elektronske pošte. Besedilo sporočila je bodisi v angleščini ali španščini in je nasledne oblike:

angleščina španščina


Hi! How are you?
Srednji del
See you later. Thanks.
Hola como estas ?
Srednji del
Nos vemos pronto, gracias.

Srednji del je eden izmed naslednjih stavkov:

angleščina

I send you this file in order to have your advice
I hope you like the file that I sendo you
I hope you can help me with this file that I send
This is the file with the information you ask for
španščina

Te mando este archivo para que me des tu punto de vista
Espero te guste este archivo que te mando
Espero me puedas ayudar con el archivo que te mando
Este es el archivo con la informacion que me pediste

Po okužbi računalnika se črv razpošlje na vse naslove, ki jih najde v Windows Address Book imeniku. Zaradi tega je navedeni elektronski naslov pošiljatelja lahko prejemniku znan.

Sporočilo vsebuje pripeto datoteko z dvojnim podaljškom (denimo .GIF.EXE ali .DOC.PIF). Če je na sistemu vključeno skrivanje znanih podaljškov datotek, je drugi del podaljška neviden. Pripeta datoteka vsebuje črva in datoteko z okuženega sistema, ki je navedena v imenu priponke. Če pripeto datoteko odpremo, se kopija shrani na %TEMP% (običajno je to C:WindowsTemp) in Recycled direktorija, vsebina datoteke pa se prikaže s privzetim programom, uporabnik pa medtem ne opazi, da je njegov sistem že okužen. Črv se potem razpošlje na naslove v imeniku, pri tem pa uporablja privzete nastavitve za elektronsko pošto na okuženem sistemu.

Širjenje preko omrežno dostopnih diskov

Če črv na sistemu najde omrežno dostopne diske (Windows Share), z dovoljenim pisanjem, potem

  1. se skopira na imeRecycledSirC32.EXE
  2. doda ukaz @ winRecycledSirC32.exe v AUTOEXEC.BAT

Če se na omrežnem disku nahaja direktorij Windows, potem

  1. skopira imeWindowsrundll32.exe v imeWindowsrun32.exe
  2. se skopira v imeWindowsrundll32.exe
  3. ko se virus aktivira preko rundll32.exe zažene še run32.exe

Posledice okužbe

Po okužbi se Sircam skuša poslati na naslove v imeniku, pri čemer je implementacija SMTP protokola dodana samemu črvu in je razpošiljanje torej neodvisno od tega, kateri program za elektronsko pošto uporabljamo.

Na okuženem sistemu vsak dan obstaja 2% verjetnost, da bo črv zapolnil sistemski disk z datoteko Recycledsircam.sys. Vsakega 16. dne v mesecu je 5% možnosti, da bo črv pobrisal celotni sistemski disk.

Zaščita in odstranjevanje

Vsem uporabnikom priporočamo previdnost pri odpiranju pripetih datotek in namestitev protivirusnih programov, ki omogočajo osveževanje podatkov o novih virusih preko interneta. Povezave na spletne strani nekaterih proizvajalcev najdete v naslednjem razdelku.

Navodila za ročno odstranjevanje najdete na spletnih straneh podjetja Kabi d.o.o.

Vsem skrbnikom omrežij in ponudnikom svetujemo namestitev filtrov na poštne strežnike, ki bodo sporočila s Sircam črvom zavrnila. Po do sedaj znanih podatkih se v glavi sporočila (header) nahaja naslednji niz (v eni sami vrstici, niz je prikazan spodaj v dveh vrsticah zaradi preglednosti):

Content-Type: multipart/mixed;
boundary="----število_Outlook_Express_message_boundary"

kjer je število osemmestno šestnajstiško (heksadecimalno) število (sestavljeno iz cifer 0-9 in znakov A-F). Ta del glave izgleda nastavi črv sam, Microsoft Outlook Express namreč uporablja drugačne nize za razmejitev pripon v elektroskih sporočilih.

Dodatne informacije