Skoro to začíná vypadat, že červenec má své jméno od červů. Nový e-mailový červ Sircam se i přes své anglické znění úspěšně rozpíná také v České republice.
Je to až konfekčně stejné, opět e-mailové přílohy, opět Outlook (ale nejen on), ale je tu zajímavých několik momentů, které stojí za to připomenout. Čerstvý červ Sircam je totiž o chloupek chytřejší než viry využívající děravé zabezpečení Outlooku a lidskou hloupost. Sircam také hraje na lidskou naivitu, ale je složitější.
W32.Sircam.Worm@mm, jak zní jeho oficiální název, je naprogramován Delphi a šíří se jako zhruba 150 kB soubor. Jako nosiče si vybírá libovolný soubor z osobních složek nebo plochy s příponami doc, xls, zip a exe. Tento soubor pak pošle na získané e-mailové adresy jako přílohu zprávy, jejíž předmět bude název přiloženého souboru. Ten má k příponě přidáno .lnk, .pif, nebo .com, aby se soubor spustil. V těle zprávy je na první řádce Hi! How are you?, pak jedna náhodná věta z
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
A ukončuje to
See you later. Thanks. Existuje i španělská mutace červa (původem je dle vnitřních textů nejspíše z Mexika).
E-mailem je zasílán nejen červ, ale i ten náhodně vybraný soubor. Je tedy možné, že z napadeného počítače budou rozeslána i tajná data. Po spuštění přílohy se nejprve aktivuje červ a pak se otevře i zaslaný soubor. Na pohled se tak červ nechová nijak prapodivně. Dojde vám třeba excelový sešit, který se po spuštění také otevře, mezitím ale červ již provedl svou práci. K posílání e-mailů využívá červ vlastní SMTP server, není tak závislý na Outlooku. Na Outlooku není ani závislý při získávání e-mailových adres. Adresáře Windows s příponou WAB jsou jen jedním ze zdrojů e-mailů. Červ prohledává i dočasné soubory Internet Exploreru a ze všech souborů sho*., get*., hot*. a *.htm vytáhne e-mailové adresy a schová si je do vlastního souboru.
Kromě šíření e-mailů má červ i destrukční mechanismy. Je 5% pravděpodobnost, že 16. října červ smaže všechny soubory na disku C:, a také 3% pravděpodobnost, že zaplní celý volný prostor na disku nesmyslnými daty (to nezávisle na datu).
Samotný červ se v systému chytá na řadě míst a jeho vymýcení není zrovna jednoduché:
- Vysypte koš v počítači, červ si schovává soubory do složky Recycled.
- V souboru Autoexec.bat odstraňte řádek "@win \recycled\sirc32.exe"
- Červ se v registrech napojí na spouštění EXE souborů, proto spusťte příkazový řádek DOSu, překopírujte soubor regedit.exe do souboru regedit.com (nebude spouštět červa) a spusťte z příkazového řádku regedit.com
- V klíči HKEY_CLASSES_ROOT\exefile\shell\open\command změňte výchozí hodnotu na "%1" %*
Smažte celý klíč HKEY_LOCAL_MACHINE\Software\SirCam
- V klíči HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunServices smažte položku Driver32
Sircam svou odlišnou metodou výběru e-mailových adres má velké šance k velkému šíření a u nás již na něj skočila řada uživatelů. Za hranicemi jím generovaná e-mailová komunikace úspěšně zahlcuje servery. Nepřidávejte se tedy k jeho šiřitelům. V současné době tohoto červa identifikují všechny významné antivirové programy. Není tedy důvod být napaden.
