27.07.2001 Украинский Антивирусный Центр информирует пользователей об эпидемии опасного сетевого червя I-Worm.SirCam.

Особенности работы червя позволяют ему не только повредить локальные системы, но и ПАРАЛИЗОВАТЬ РАБОТУ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ.

Украинским Антивирусным Центром выпущено обновление к программе UNA for Win32, позволяющее полностью обезвредить червя. Всем зарегистрированным пользователям рекомендуется обновить антивирус и протестировать свои компьютеры (для этого необходимо обновить антивирус, а затем закрыть его и запустить снова).

В связи с особенностями работы вируса при тестировании компьютера необходимо включить опцию Лечить все инфицированные файлы, при этом антивирус корректно удаляет все записи, оставленные червём в реестре.

Червь размножается как в глобальной сети Internet (через электронную почту), так и по локальным вычислительным сетям, заражая открытые на запись сетевые диски.

Червь написан на языке программирования Delphi и имеет большой размер (размер тела червя 130Kb). При размножении червь приписывает к себе тело реального файла, взятого с зараженной машины.

Червь рассылает себя с зараженных компьютеров в виде файлов, вложенных в письма электронной почты, которые имеют случайное имя и двойное расширение:

Расширение ext2 выбирается случайно из PIF, LNK, BAT, COM. Как правило почтовые клиенты не показывают второго расширения, таким образом пользователь видит только имя файла и первое расширение (как правило это расширения XLS, DOC и пр.).

После запуска (например, двойным щелчком на вложенном зараженном файле), червь внедряется в систему, рассылает зараженные сообщения (содержащие вложенные файлы с копией червя), заражает компьютеры, подключенные к доступной ЛВС (если в сети существуют диски, доступные для записи), а также, в зависимости от системной даты, выполняет встроенную деструктивную процедуру.

Червь копирует свои файлы в следующие директории:

 
1. Директории RECYCLED и WINDOWS под 
именем SirC32.exe, например: C:WINDOWS C:RECYCLEDSirC32.exe 
2. Системная директория Windows под именем SCam32.exe. 
3. Директория Windows под именем ScMx32.exe. 
4. Директория автоматического запуска Windows под 
именем Microsoft Internet Office.exe. 

Первые два файла червь регистрирует в секции автоматического запуска программ системного реестра Windows:

 
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices 
Driver32 = %windows sytem directory%SCam32.exe 
HKCRexefileshellopencommand SirC32.exe 

В зависимости от текущей системной даты и времени, червь с вероятностью 5% удаляет все файлы и поддиректории в директории Windows.

При каждой загрузке операционной системы с вероятностью 2% червь создает файл SirCam.Sys в корневой директории текущего диска и записывает в него следующий текст:

 
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX] 
[SirCam Version 1.0 Copyright L 2001 2rP Made 
in / Hecho en - Cuitzeo, Michoacan Mexico] 

С каждым разом червь добавляет этот файл, тем самым постепенно поглощая свободное место на диске. Эти и многие другие текстовые строки в теле червя содержатся в зашифрованом виде.

Для распространения по локальной сети червь сканирует все доступные сетевые ресурсы (ищет доступные директории на удаленных компьютерах) и копирует туда свои файлы. В случае обнаружения на удаленном компьютере директории ecycled , червь записывает себя в нее под именем SirC32.exe: recycledSirC32.exe
После этого червь модифицирует файл AUTOEXEC.BAT, добавляя в него следующую команду:
@win ecycledSirC32.exe

Если на компьютере имеется директория "Windows", то червь изменяет имя системного файла RUNDLL32.EXE на RUN32.EXE, а на место RUNDLL32.EXE записывает свою копию. Как указывалось выше, все копии червя имеют атрибут "Hidden" ("Скрытый").