http://www.db.f-prot-antivirus.de/news/s/sircam.htm
Sircam ist ein Massenmail-Wurm mit einer Größe von ca 150KB. Wird er
gestartet, so kopiert er sich selbst nach 'c:\recycled\SirC32.exe' und
als
'SCam32.exe' in das Windows-System-Verzeichnis. 'SirC32.exe' wird als
Standard-Start-Programm für EXE-Dateien registriert, dadurch wird es
jedesmal
aufgerufen, wenn eine EXE-Datei gestartet werden soll. 'SCam32.exe'
wird als
Treiber registriert, welches sicher stellt, dass das Programm bei
jedem
System-Start aufgerufen wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Driver32 = %windows system directory%\SCam32.exe
HKCR\exefile\shell\open\command SirC32.exe
Der Wurm sammelt E-MAIL-Adressen aus dem Windows-Adress-Buch und aus
dem temporären Internet-Dateien-Verzeichnis (Temporary Internet Files)
in einer
Datei namens 'scw1.dll' im Windows-System-Verzeichnis.
Danach wird eine andere Datei durch den Wurm erzeugt. Sie enthält eine
Liste
von Dateien mit bestimmten Endungen (z.B. .DOC, .ZIP, .JPG) aus dem
Verzeichnis "Eigene Dateien" ('My Documents') des Users. Da Benutzer
häufig
dieses Verzeichnis für persönliche oder firmeninteren Dokumente
gebrauchen,
kann der Wurm vertrauliche Informationen versenden.
Der Wurm benutzt eine eigene SMTP-Maschine und versendet darüber Mails
an
die gefundenen Adressen. Dabei sendet er aus der Dokumenten-Liste ein
Dokument als Anhang an die Adressen, indem er es an die Wurm-Datei
anheftet.
Ausserdem erhalten die Anhänge eine doppelte Endung, z.B. .DOC.EXE,
.ZIP.COM, .JPG.PIF, usw.
Wenn ein Empfänger diesen Anhang öffnet, wird auch sein System
infiziert und
das gesendete Dokument angezeigt. Dadurch werden die Aktivitäten des
Wurms versteckt.
Meldungen des Wurms sehen so aus:
Betreff: Dokument-Name (ohne Endung)
Von: [Benutzer der infizierten Maschine@prodigy.net.mx]
An: [zufalls@email.ausdem.address.buch]
Hi!
How are you?
I send you this file in order to have your advice See you later!
Thanks
Bei einem System mit spanischsprachiger Einstellung sieht die Mail so
aus:
Betreff: Dokument-Name (ohne Endung)
Von: [Benutzer der infizierten Maschine@prodigy.net.mx]
An: [zufalls@email.ausdem.address.buch]
Hola como estas ?
Te mando este archivo para que me des tu punto de vista
Nos vemos pronto, gracias
Der 2. Satz kann nach dem Zufallsprinzip aus vier verschiedenen
Möglichkeiten
variieren:
I send you this file in order to have your advice
I hope you can help me with this file that
I send I hope you like the file that
I send to you This is the file with the information that you ask for
oder in Spanisch
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la información que me pediste
Der Wurm kann sich auch innerhalb eine Microsoft Windows-Netzwerkes
(Shares) ausbreiten. Er sucht auf dem infizierten System in allen
freigegebenen
Verzeichnissen in einem Netzwerk nach dem Verzeichnis '\recycled' und
versucht es zu infizieren.
Zuerst kopiert er sich selbst in dieses Verzeichnis und versucht
'\windows\rundll32.exe' durch eine Kopie von sich selbst zu ersetzen.
Die
original 'rundll32.exe' wird umbenannt in 'run32.exe'. Danach ergänzt
er die
AUTOEXEC.BAT durch die Zeile:
@win \recycled\SirC32.exe'.
Payload/Schadfunktion
In Abhängigkeit von Systemdatum und Systemzeit löscht der Wurm per
Zufallsprinzip in 1 von 20 Fällen das gesamte WINDOWS-Verzeichnis und
entfernt alle darin enthaltenen Verzeichnisse.
Ebenfalls nach dem Zufallsprinzip erstellt der Wurm in 1 von 50 Fällen
eine Datei
SirCam.Sys im Wurzelverzeichnis des aktuellen Laufwerks mit dem
Inhalt:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright © 2001 2rP Made in / Hecho en -
Cuitzeo, Michoacan Mexico]
Anleitung zur Beseitigung des Wurms:
Sollte Ihr System infiziert sein, so laden Sie bitte herunter:
ftp://ftp.europe.f-secure.com/anti-virus/tools/sirc_dis.reg
Dieses löscht die Start-Veknüpfung des Wurms mit der Ausführung von
EXE-Dateien in der Registry.
ACHTUNG!
Das System kann instabil werden, wenn die Dateien des Wurms gelöscht
werden, bevor dieser Registry-Eintrag geändert wurde.
Anschliessend können Sie mit F-SECURE oder FP-WIN diesen Wurm löschen.
Sollte Windows sich weigern, Dateien zu löschen (gesperrte Dateien),
so gehen
Sie bitte in den DOS-Modus und starten Sie F-PROT für DOS.
Sollte eine Workstation in einem Microsoft-Netzwerk-Share infiziert
worden sein,
so ist nach eine Desinfektion \windows\run32.exe' wieder in
'\windows\rundll32.exe' umzubenennen. Ebenso muss \recycled\SirC32.exe
gelöscht werden und die zusätzliche Zeile in der AUTOEXEC.BAT ist zu
entfernen.
------------------------------------------------------
Wir müssen also wieder aufpassen, ich frag noch nach, ob Norton den Wurm schon erkennt !!!
Der Glaube in uns, geboren aus Hoffnung, weist einen Weg, der Zuversicht heißt.
[email]rottikind@rottweilerclub.de[/url]