Ny, potensiell plage-orm lurer

Ormen "Sircam" infiserer datamaskiner, sender seg selv videre og gjemmer seg i søpla for å unngå antivirus. Lav-risiko eller StoreSlem? De lærde strides.

Den nye ormen Sircam har fått endel spredning, om enn ikke dramatisk, den siste tiden. Virusanalytiker Peter Kruse mener det kan være snakk om en ny Magistr-orm, og i så tilfelle kan det forventes mye bråk rundt Sircam. Magistr ligger for eksempel øverst på listen over plagsomme virus og ormer hos antivirusselskapet Trend Micro og er vurdert som en alvorlig trussel på Symantecs risikovurdering.

Sircam vurderes ikke til å være like alvorlig, men derimot som en moderat trussel.
Sircam leveres som e-post, med følgende innhold, ifølge Kruses analyse:


Emne: Tilfeldig valgt, samme navn som virusfilen.
Tekst: Også denne er tilfeldig, men ormen har både engelske og spanske språksnutter som brukes i første og siste linje.

Engelsk:
Første setning: Hi! How are you?
Siste linje: See you later. Thanks

Spansk:
Første setning: Hola como estas ?
Siste linje: Nos vemos pronto, gracias.

Ormen kan sette inn følgende linjer i teksten:

Engelsk:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send you
This is the file with the information that you ask for

Spansk:
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste

Engelsk eller spansk velges ut fra hvilket språk som er satt på maskinen.

Vedlegg:
En eksekverbar fil: for eksempel SirC32.exe eller Financials.doc.com

Sircam bruker sin egen medfølgende SMTP-maskin for å sende seg selv videre til personer/e-postadresser som fins på en infisert PC. Adressene hentes fra Outlooks adressebok, samt cachede nettsider som ligger i Temp-katalogen. Adressene gjemmes i filen SCD1.DLL i systemmappen.

Når vedlegget kjøres vil ormen droppe følgende fil: C:\RECYCLED\SirC32.exe. Dermed ligger ormen og lurer i søppelkassen, som ifølge Kruse ikke omfattes av mange antivirus-programmer. Samtidig gjøres det endringer i registeret for å sikre at følgende kode reaktiviseres ved omstart:

HKCR\exefile\shell\open\command\"C:\recycled\SirC32.exe" "%1" %* (denne nøkkelen vil dannes på grunnlag av det vedlegget som har aktivert Sircam).

I tillegg droppes ytterligere en fil i systemmappen: C:\WINDOWS\SYSTEM\SCam32.exe, og følgende fil opprettes i registeret, som en runservice: HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe.

Ifølge Symantec kan de som blir infisert risikere at ormen sender lokale dokumenter fra PC-en ut til tilfeldig valgte mottagere. Dermed kan sensitiv informasjon havne på feil hender, om man er maksimalt uheldig.

Til toppen