Для информации:

В понедельник до российского Интернета докатилась эпидемия сетевого червя SirCam. Вирус рассылает себя через Интернет в файлах, украденных с зараженных компьютеров. Таким образом вместе с вирусом в Сеть утекло уже множество секретных документов.

Как сообщает "Лаборатория Касперского", всего за 6 дней с момента обнаружения (18 июля, по другим данным - 16 июля) сетевой червь SirCam распространился по всему миру и прочно занял первое место в списке наиболее распространенных вредоносных программ. Антивирусная компания Messagelabs сообщает, что отловила 11.500 копий вируса, присланных из 110 стран.

Вирус распространяется по электронной почте в виде прикрепленного файла со случайным именем и двойным расширением. Оба расширения также выбираются вирусом случайно из набора: для первого расширения - .doc., .xls., .zip., ,exe., для второго расширения - .pif, .lnk, .bat, .com. Таким образом, прикрепленные файлы могут выглядеть по-разному. Например, так: feb01.xls.pif или normas.doc.bat.

При этом feb01.xls, normas.doc или любое другое "имя_файла.расширение" являются именами реальных файлов, украденных вирусом с предыдущего зараженного компьютера. При распространении червь берет реально существующий на компьютере файл с одним из указанных расширений и, присоединяя к нему свой код, отсылает полученный результат по всем найденным в адресной книге адресам. "Захваченный" файл превращается в "приманку", маскирующую действия вредоносной программы. Попав на новый компьютер, вирус пытается открыть "приманку" при помощи соответствующей программы (WinWord, например). В поле "Тема" зараженного сообщения содержится имя файла, украденного с зараженного компьютера.

Таким образом, у подобного способа маскировки и распространения появляется и еще один побочный отрицательный эффект - возможность утечки с зараженного компьютера секретной информации, содержащейся в украденных файлах данных форматов. Конечно, прямо открывать присланные зараженные файлы не стоит. Однако их код можно просматривать в специальных программах типа FAR Viewer, что позволяет увидеть, помимо вредоносного кода, еще и содержание файла.

Еще одним неприятным отличием вируса SirCam является его размер: поскольку вирус <цепляет> случайные файлы, они могут оказаться очень большими. Автор данных строк получил уже с десяток зараженных писем, каждое из которых весит по нескольку сот килобайт. Как сообщает BBC, на сегодняшний день самый большой файл, который вирусу удалось отправить в рассылку, имеет размер 107 мегабайт.

Текст письма с вложенным вирусом написан либо на английском, либо на испанском языке и тоже генерируется случайно из нескольких вариантов. Неизменны только первая и последняя фраза на английском или испанском: "Hi! How are you?" или "Hola como estas?" ("Привет, как дела?") и "See you later. Thanks" или "Nos vemos pronto, gracias" (Спасибо, увидимся). В России наибольшее распространение имеет вирусное письмо со следующим текстом -

Hi! How are you?

I send you this file in order to have your advice

See you later. Thanks

Как сообщает "Лаборатория Касперского", вирус написан на языке Delphi, живет в среде Win32. Компания Symantec оценила его в 4 бала по пятибалльной шкале. Пока он не нанес серьезного ущерба, однако на кое-какие деструктивные действия он все же способен: в зависимости от текущей даты и времени, вирус с вероятностью 5 процентов удаляет все файлы и поддиректории в директории Windows (по другим данным, таймер <удаления> настроен на конкретное число - 16 октября).

С вероятностью 2 процента при каждой загрузке компьютера червь создает файл SirCam.Sys в корневом каталоге текущего диска и записывает в него текст, из которого можно понять, что червь создан в Мексике. Каждая такая запись отнимает все больше и больше места.

Кроме того, вирус прописывает себя в системном реестре Windows в секции автоматического запуска, а также ищет доступные для записи локальные диски и копирует себя на них, вызывая заражение всей локальной сети.

С уважением,
Искаков Талгат
Кокшетауский филиал ОАО Банк ЦентрКредит

free counters