BEDRIFTSTEKNOLOGI

Ny, potensiell plage-orm lurer

Ormen "Sircam" infiserer datamaskiner, sender seg selv videre og gjemmer seg i søpla for å unngå antivirus. Lav-risiko eller StoreSlem? De lærde strides.

18. juli 2001 - 12:51
Peter KruseMagistrTrend MicroSymantec



Emne: Tilfeldig valgt, samme navn som virusfilen.
Tekst: Også denne er tilfeldig, men ormen har både engelske og spanske språksnutter som brukes i første og siste linje.

Engelsk:
Første setning: Hi! How are you?
Siste linje: See you later. Thanks

Spansk:
Første setning: Hola como estas ?
Siste linje: Nos vemos pronto, gracias.

Ormen kan sette inn følgende linjer i teksten:

Engelsk:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send you
This is the file with the information that you ask for

Spansk:
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste

Engelsk eller spansk velges ut fra hvilket språk som er satt på maskinen.

Vedlegg:
En eksekverbar fil: for eksempel SirC32.exe eller Financials.doc.com

Sircam bruker sin egen medfølgende SMTP-maskin for å sende seg selv videre til personer/e-postadresser som fins på en infisert PC. Adressene hentes fra Outlooks adressebok, samt cachede nettsider som ligger i Temp-katalogen. Adressene gjemmes i filen SCD1.DLL i systemmappen.

Når vedlegget kjøres vil ormen droppe følgende fil: C:\RECYCLED\SirC32.exe. Dermed ligger ormen og lurer i søppelkassen, som ifølge Kruse ikke omfattes av mange antivirus-programmer. Samtidig gjøres det endringer i registeret for å sikre at følgende kode reaktiviseres ved omstart:

HKCR\exefile\shell\open\command"C:\recycled\SirC32.exe" "%1" %* (denne nøkkelen vil dannes på grunnlag av det vedlegget som har aktivert Sircam).

I tillegg droppes ytterligere en fil i systemmappen: C:\WINDOWS\SYSTEM\SCam32.exe, og følgende fil opprettes i registeret, som en runservice: HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe.

Ifølge Symantec kan de som blir infisert risikere at ormen sender lokale dokumenter fra PC-en ut til tilfeldig valgte mottagere. Dermed kan sensitiv informasjon havne på feil hender, om man er maksimalt uheldig.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra