Заразні хробаки з електронної пошти
07/27/2001 | Майдан
Поставити даний текст із сайту "Ліга" змушує те що що у поштовий ящик "Майдану" ці хробаки приповзають останніми днями по кілька за добу.
Незважаючи на англійський текст, є адреса та тема російською мовою та імя відправника ( якесь правдоподібне, видно взяте з адресної книги попердньї жертви)
Атачментом додається файл 200- 300 кбайт з чудернацькими "подвійними" розширеннями. Англійський текст настійливо рекомендує все це подивитьися...
А ось інформація про цей вірус:
Черви-трансформеры расползаются по Сети
По Сети в диком виде расползается весьма опасный почтовый
червь SirCam.
Серьезного ущерба он пока не нанес, однако его дальнейшее
распространение
может стать очень активным, поскольку червь использует
каждый раз новое
имя и новое расширение при очередной пересылке.
Как сообщает "Лаборатория Касперского", вирус написан на
языке Delphi, живет
в среде Win32, распространяется по почте и по локальной
сети, передает
"Нетоскоп".
В зависимости от текущей даты и времени, вирус с
вероятностью 5 процентов
удаляет все файлы и поддиректории в директории Windows. А
также с
вероятностью 2 процента при каждой загрузке компьютера
создает файл
SirCam.Sys в корневом каталоге текущего диска и записывает
в него текст, из
которого, в частности, можно понять, что червь создан в
Мексике. Каждая такая
запись отнимает все больше и больше места.
Вирус распространяется по электронной почте в виде
прикрепленного файла
со случайным именем и двойным расширением. Оба расширения
также
выбираются вирусом случайно из набора: для первого
расширения - .doc., .xls.,
.zip., ,exe., для второго расширения - .pif, .lnk, .bat,
.com. Таким образом,
прикрепленные файлы могут выглядеть, например, так:
feb01.xls.pif или
normas.doc.bat.
При этом feb01.xls, normas.doc или любое другое
"имя_файла.расширение"
являются именами реальных файлов, присутствующих в системе
подвергшейся
предыдущему заражению. При распространении червь берет
реально
существующий на компьютере файл с одним из указанных
расширений и,
присоединяя к нему свой исполняемый код, отсылает
полученный результат по
всем найденным в адресной книге адресам. "Захваченный" файл
превращается
в "приманку", маскирующую реальные действия вредоносной
программы. Попав
на новый компьютер, вирус пытается открыть "приманку" при
помощи
соответствующей программы (WinWord, например).
Таким образом, у подобного способа маскировки и
распространения
появляется и еще один побочный отрицательный эффект -
возможность утечки
с зараженного компьютера секретной информации, содержащейся
в файлах
указанных форматов.
В поле "Тема" зараженного сообщения содержится имя
прикрепленного файла.
Текст письма, которое написано либо на английском, либо на
испанском языке,
также генерится случайно из нескольких вариантов. Неизменны
только первая
и последняя фраза на английском или испанском: "Hi! How are
you?" или "Hola
como estas ?" ("Привет, как дела?") и "See you later.
Thanks" или "Nos vemos pronto,
gracias" (Спасибо, увидимся). Между этими двумя фразами
случайным образом
вставляется одна из четырех фраз.
Червь в процессе внедрения и сканирования системы создает
несколько
библиотек, в которых хранит различную служебную информацию:
например в
sdc.dll содержит имена файлов с подходящим первым
расширением, в файлах
sch1.dll и sci1.dll хранятся адреса электронной почты,
найденные в системе.
Возможно также создание файлов sct1.dll и scy1.dll для
хранения другой
необходимой информации.
При внедрении в систему червь копирует себя в различные
директории под
разными именами. В директорию c:\windows и c:\recycled под
именем SirC32.exe; в
системную директорию Wiindows под именем SCam32.exe и
другие. При этом эти
действия совершаются постепенно и в зависимости от
различных факторов.
Кроме того, вирус прописывает себя в системном реестре
Windows в секции
автоматического запуска, а также ищет доступные для записи
локальные диски
и копирует себя на них, вызывая заражение всей локальной
сети.
Незважаючи на англійський текст, є адреса та тема російською мовою та імя відправника ( якесь правдоподібне, видно взяте з адресної книги попердньї жертви)
Атачментом додається файл 200- 300 кбайт з чудернацькими "подвійними" розширеннями. Англійський текст настійливо рекомендує все це подивитьися...
А ось інформація про цей вірус:
Черви-трансформеры расползаются по Сети
По Сети в диком виде расползается весьма опасный почтовый
червь SirCam.
Серьезного ущерба он пока не нанес, однако его дальнейшее
распространение
может стать очень активным, поскольку червь использует
каждый раз новое
имя и новое расширение при очередной пересылке.
Как сообщает "Лаборатория Касперского", вирус написан на
языке Delphi, живет
в среде Win32, распространяется по почте и по локальной
сети, передает
"Нетоскоп".
В зависимости от текущей даты и времени, вирус с
вероятностью 5 процентов
удаляет все файлы и поддиректории в директории Windows. А
также с
вероятностью 2 процента при каждой загрузке компьютера
создает файл
SirCam.Sys в корневом каталоге текущего диска и записывает
в него текст, из
которого, в частности, можно понять, что червь создан в
Мексике. Каждая такая
запись отнимает все больше и больше места.
Вирус распространяется по электронной почте в виде
прикрепленного файла
со случайным именем и двойным расширением. Оба расширения
также
выбираются вирусом случайно из набора: для первого
расширения - .doc., .xls.,
.zip., ,exe., для второго расширения - .pif, .lnk, .bat,
.com. Таким образом,
прикрепленные файлы могут выглядеть, например, так:
feb01.xls.pif или
normas.doc.bat.
При этом feb01.xls, normas.doc или любое другое
"имя_файла.расширение"
являются именами реальных файлов, присутствующих в системе
подвергшейся
предыдущему заражению. При распространении червь берет
реально
существующий на компьютере файл с одним из указанных
расширений и,
присоединяя к нему свой исполняемый код, отсылает
полученный результат по
всем найденным в адресной книге адресам. "Захваченный" файл
превращается
в "приманку", маскирующую реальные действия вредоносной
программы. Попав
на новый компьютер, вирус пытается открыть "приманку" при
помощи
соответствующей программы (WinWord, например).
Таким образом, у подобного способа маскировки и
распространения
появляется и еще один побочный отрицательный эффект -
возможность утечки
с зараженного компьютера секретной информации, содержащейся
в файлах
указанных форматов.
В поле "Тема" зараженного сообщения содержится имя
прикрепленного файла.
Текст письма, которое написано либо на английском, либо на
испанском языке,
также генерится случайно из нескольких вариантов. Неизменны
только первая
и последняя фраза на английском или испанском: "Hi! How are
you?" или "Hola
como estas ?" ("Привет, как дела?") и "See you later.
Thanks" или "Nos vemos pronto,
gracias" (Спасибо, увидимся). Между этими двумя фразами
случайным образом
вставляется одна из четырех фраз.
Червь в процессе внедрения и сканирования системы создает
несколько
библиотек, в которых хранит различную служебную информацию:
например в
sdc.dll содержит имена файлов с подходящим первым
расширением, в файлах
sch1.dll и sci1.dll хранятся адреса электронной почты,
найденные в системе.
Возможно также создание файлов sct1.dll и scy1.dll для
хранения другой
необходимой информации.
При внедрении в систему червь копирует себя в различные
директории под
разными именами. В директорию c:\windows и c:\recycled под
именем SirC32.exe; в
системную директорию Wiindows под именем SCam32.exe и
другие. При этом эти
действия совершаются постепенно и в зависимости от
различных факторов.
Кроме того, вирус прописывает себя в системном реестре
Windows в секции
автоматического запуска, а также ищет доступные для записи
локальные диски
и копирует себя на них, вызывая заражение всей локальной
сети.