Sircam - skomplikowany robak internetowy
- Krzysztof Arkuszewski,
- 20.07.2001
Sircam jest robakiem internetowym o sposobie działanie podobnym do innego robaka - Magistra. Robak rozsyła się pocztą elektroniczną oraz zawiera procedury destrukcyjne.
Zwykle robak pojawia się w komputerze ofiary w postaci pliku załącznika do listu elektronicznego. skomponowanego losowo z następujących komponentów w dwóch wersjach językowych: angielskiej i hiszpańskiej.
Temat: <nazwa pliku załącznika>
Treść: Hi! How are you?
<losowo jedno z poniższych zdań>
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send you
This is the file with the information that you ask for
See you later. Thanks
Załącznik: SirC32.exe lub Tech Specs and Financials.doc.com
Temat: <nazwa pliku załącznika>
Treść: Hola como estas ?
<losowo jedno z poniższych zdań>
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste
Nos vemos pronto, gracias.
Załącznik: SirC32.exe lub Tech Specs and Financials.doc.com
Po uruchomieniu przez użytkownika pliku załączniku robak aktywizuje się tworząc własne kopie w plikach o nazwie identycznej jak nazwa pliku załącznika w katalogu tymczasowym oraz w katalogu Kosza - c:\recycled. Następnie kopia na dysku twardym jest uruchamiana.
Zobacz również:
Dodatkowo robak tworzy własną kopię w plikach c:\recycled\sirc32.exe oraz scam32.exe w katalogu systemu Windows, a także modyfikuje rejestr tak by kopia w pliku scam32.exe była uruchamiana przy każdym starcie systemu Windows. Ponadto robak tworzy swój własny klucz w rejestrze, w którym przechowuje informacje potrzebne do masowej wysyłki za pomocą poczty elektronicznej: HKEY_LOCAL_MACHINE\Software\SirCam.
Na koniec zmian w rejestrze robak zmienia wartość dotyczącą uruchamiania plików z rozszerzeniami exe, czego efektem jest uruchamianie robaka przy każdym uruchomieniu tego typu pliku.
Sircam tworzy na dysku plik c:\recycled\sircam.sys, w którym umieszcza nieprzerwanie tekst [SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX] aż do momentu zapełnienia całego wolnego miejsca na dysku. Ponadto z prawdopodobieństwem 1 na 20 uruchamiana jest procedura destrukcyjna polegająca na usuwaniu 16 października wszystkich plików z dysku c:.
Do rozsyłania kopii za pomocą poczty elektronicznej robak używa własnego silnika SMTP, natomiast adresy pobiera z plików książek adresowych z rozszerzeniem wab oraz z plików znajdujących się w cache'u przeglądarki internetowej. Dodatkowo poza dołączaniem do wysyłanych przez siebie listów elektronicznych własnych kopii, Sircam dołącza pliki z rozszerzeniami doc, xls, zip, exe znalezione na Pulpicie, umieszczając na ich początku własny kod wykonywalny.
Po 8000 uruchomień robak przerywa swoją działalność.