EsportesMotor - Notícias sobre quase 100 categoria
   
 
 
Home | Biblioteca | Calendário | Download | Literatura | Notícias | Segurança | Vacinas | Virus |

 Livro de Visita

 Pesquisa Vírus

 Alertas de Vírus

 Mapa Mundi

 Testes de AV

 Vírus Reais

 Portas de Trojans

 Notícias da Web

 White Papers

 Rede Segura

 Zone Alarme

W32/SirCam.A

01/08/03

Tudo o que você DEVE saber sobre o worm SirCam

O W32/SirCam não é um verdadeiro VÍRUS de Computador; ele é um VERME (WORM) que se infiltra no seu micro.

O W32/SirCam se propaga através de e-mails e também através da rede local.

O W32/SirCam grava no diretório SYSTEM do Windows o arquivo SCAM32.exe.

Ele envia os documentos de seu micro (tipo DOC, XLS, ZIP, BAT, EXE) em anexo para os destinatários - o conteúdo desses documentos, mesmo se confidenciais serão vistos por todos os destinatários

Você pode remover o vírus e as alterações no seu micro seguindo as instruções desta página, ou usando o utilitário STINGER

O worm W32/SirCam é mais uma das novas pragas lançadas em 2001. É um worm bem complexo, e que se dissemina de forma automática através tanto de e-mail quanto de rede local. Aparentemente esse worm tem um payload destrutivo, disparado no dia 16 de outubro, em máquinas cujo formato de data seja D/M/A, como o mexicano - onde foi criado - e o brasileiro.
O vírus chega num e-mail cujo assunto pode variar, mas traz sempre uma breve mensagem, em inglês ou em espanhol, que diz ao destinatário algo como: "Olá, como vai?"
Complementando em seguida com uma de quatro frases possíveis:
“Envio-lhe este arquivo para obter seu conselho”. Ou, então, 
“Espero que você possa me ajudar com este arquivo”. Ou, 
“Este é o arquivo com a informação que você pediu”. Ou, ainda, 
"Espero que goste do arquivo que estou e enviando". 
O corpo da mensagem é encerrado com a expressão: "Vejo você mais tarde. Obrigado"

As mensagens acima estão traduzidas, no original elas têm a seguinte sintaxe:

Em Inglês: 
I send you this file in order to have your advice
ou I hope you can help me with this file that I send
ou I hope you like the file that I sendo you
ou This is the file with the information that you ask for

A frase que encerra o e-mail é: See you later. Thanks

Em Espanhol:
Te mando este archivo para que me des tu punto de vista
ou Espero me puedas ayudar con el archivo que te mando
ou Espero te guste este archivo que te mando
ou Este es el archivo con la información que me pediste

A frase que encerra o e-mail é: Nos vemos pronto, gracias.

O arquivo anexo, que origina sempre o campo ASSUNTO da mensagem de e-mail, é um arquivo de tamanho superior a 140 KB, de dupla extensão, composto por dois arquivos: um é o arquivo cujo nome original serviu para criar o campo assunto e o nome do anexo enviado, sempre originalmente de uma de seis extensões: ZIP, DOC, XLS, BAT, COM ou EXE, e o outro - que lhe é inserido ao final de seu código, e que é o próprio código viral do SirCam - denominado SIRC32.EXE, de tamanho igual a 137.216 bytes. O arquivo anexo então é nomeado como no exemplo abaixo:

Exemplo: Arquivo originalmente selecionado pelo vírus (PLANILHA DE CUSTOS.XLS) => Anexo se torna = PLANILHA DE CUSTOS.XLS.PIF (esta segunda extensão pode ser também COM, EXE ou LNK, embora PIF ocorre na maioria das vezes, e em alguns sistemas não configurados corretamente, se apresenta apenas como PLANILHA DE CUSTOS.XLS - enganando os usuários desses micros mau configurados). Neste exemplo o Assunto da mensagem seria "PLANILHA DE CUSTOS".

Se esse anexo for executado, ele copia o anexo original para a LIXEIRA, extrai o componente viral, SIRC32.EXE, dentro da lixeira, e cria uma cópia de si mesmo no diretório de sistema, com o nome SCAM32.EXE. Em seguida o worm W32/SirCam cria algumas chaves no Registro do Windows, entre elas:

* HKEY_CLASSES_ROOT \exefile \shell \open \command \Default="C:\recycled\SirC32.exe" "%1" %" 
* HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServices \Driver32=C:\WINDOWS\SYSTEM\SCam32.exe 
* HKEY_LOCAL_MACHINE \Software \Sircam 

O worm insere, dentro do arquivo S?D.DLL (no lugar do símbolo ? o worm insere um caractere aleatório, embora em geral ele seja a letra C!) criado dentro da pasta SYSTEM, uma lista dos arquivos DOC, XLS, ZIP, COM, EXE ou BAT que encontra dentro da pasta MEUS DOCUMENTOS, arquivos estes que o worm usará para criar e enviar os anexos com a dupla extensão. Os endereços de e-mail o SirCam obtém dos arquivos WAB encontrados nos discos (são arquivos do Windows Address Book usados pelo Outlook e pelo Outlook Express), além de endereços de e-mail obtidos numa busca efetuada pelo worm dentro das pastas temporárias do Internet Explorer. Esses endereços são armazenados dentro de um arquivo com o nome S??1.DLL (no lugar dos símbolos ? o worm insere um caractere aleatório, embora em geral ele insira os caracteres C e I!) que também é criado dentro da pasta SYSTEM.

Um característica peculiar a esse worm é que ele tenta enviar os e-mails através do servidor do usuário contaminado que enviou a mensagem para você. Se esse servidor SMTP não permitir RELAY, ou estiver indisponível quando dos momentos de enviar os e-mails contaminados para fora de sua máquina, ele tenta utilizar um de três servidores SMTP alternativos: ENLACE.NET, GOEKE.NET ou DOUBLECLICK.COM.MX. 

Outra condição comum de transmissão desse worm é através da rede local, sempre quando existirem compartilhamentos abertos em máquinas da rede com acesso à escrita (se houver uma senha nesse acesso ainda assim esse worm poderá infectar seu micro se a pessoa que estiver contaminada possuir a senha de acesso ao seu compartilhamento. Assim a recomendação nestes casos é NUNCA permitir um compartilhamento para escrita - somente leitura.

Nos casos da infecção ocorrer pelo caminho da rede local uma característica fundamental da atuação do SirCam é a alteração do arquivo AUTOEXEC.BAT - de sorte a inserir nesse arquivo a linha abaixo:

@WIN \RECYCLED\SIRC32.EXE
essa linha garante a execução do worm a cada boot do micro contaminado, dando a ele todas as condições de agir em sua sanha.


Sintomas da Infecção:
Presença do arquivo SCAM32.EXE na pasta \WINDOWS\SYSTEM;
Existência das chaves citadas, acima, dentro do Registro do Windows;
Alteração no arquivo AUTOEXEC.BAT com a inclusão da linha de comando acima citada;


Remoção da Infecção:
Use seu anti-vírus, com vacinas e engine atualizados. Não esqueça de confirmar que o anti-vírus vai escanear também a pasta RECYCLED - a Lixeira do Windows.
No caso de seu anti-vírus não estiver muito atualizado, ou na dúvida sobre sua atualização, assegure-se de limpar o registro do Windows ANTES de eliminar o código viral - em caso contrário seu Windows parará de funcionar;

No caso do Windows ME execute o processo especial de limpeza na pasta _RESTORE;

Se você tiver receio de mexer no REGISTRO do Windows, ou quiser usar uma ferramenta automática para eliminar essa praga, pode baixar o utilitário STINGER ou o AVAST que estão na seção VACINAS ESPECIAIS.
 


 

HomePesquisasComo AgemMacro-VírusMapa MundiSafe ModeSegurança Pró-ativaTestes de AVVírus ReaisWhite Papers |

Atenção: não podemos dar suporte diretamente para os internautas; use nosso FÓRUM VÍRUS ALERTA para suas dúvidas;
Desejando um suporte diferenciado e específico para suas necessidades, associe-se ao Clube do Help Desk.