|
Engl. Tool
zur Beseitigung des Wurms mit deutscher
Beschreibung.
Bitte machen Sie sich vor dem Gebrauch des Tools eine Sicherheitskopie
der Registry.
Das Tool ist auf englisch-sprachige Umgebungen zugeschnitten.
DOS-Benutzer können das Tool von Kaspersky einsetzen:
clrav.zip
21KB (Download)
Sircam ist ein Massenmail-Wurm mit einer Größe
von 137216 Bytes und der Fähigkeit, sich in Windows-Netzwerk-Shares
(freigegebene Verzeichnisse im Netzwerk) auszubreiten. Die
Größe des Wurms verändert sich jedoch um die
Größe des E-Mail-Anhangs (Details s.u.).
Wird er auf einem virenfreien System gestartet, so kopiert
er sich selbst in unterschiedliche Verzeichnisse unter verschiedene
Namen:
1. Nach 'c:\recycled\SirC32.exe' und einer Änderung
des Registry-Eintrags
[HKCR\exefile\shell\open\command]
in
'""[windows_drive]\recycled\SirC32.exe" "%1" %*"'.
Dadurch wird bei jedem EXE-Programm-Aufruf eine Kopie des
Wurms aktiviert.
2. Als 'SCam32.exe' in das Windows-System-Verzeichnis. 'SirC32.exe'
wird als Startup-Key in der Registry eingetragen und dadurch
bei jedem Systemstart aktiviert:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Driver32" = "\SCam32.exe"
3. Der Wurm ersetzt '\windows\rundll32.exe' durch eine Kopie
von sich selbst. Die original 'rundll32.exe' wird umbenannt
in 'run32.exe'. Diese Kopie existiert aber nur, wenn das System
über ein Windows-Netzwerk-Share infiziert wurde.
4. Manchmal (in 1 von 33 Fällen) kopiert sich der Wurm
im WINDOWS-Verzeichnis unter dem Namen 'ScMx32.exe'. In einem
solchen Fall wird eine weitere Kopie mit dem Namen 'Microsoft
Internet Office.exe' im Startup-Verzeichnis des jeweils angemeldeten
Benutzers abgelegt. Diese Kopie wird gestartet, wenn sich
der jeweilige Benutzer am System anmeldet.
Wenn ein mit dem SirCam-Wurm verseuchter E-Mail-Anhang geöffnet
wird, so zeigt er das Dokument an, das vom verseuchten System
des Absender stammt. Je nach Dokumententyp wird die dazugehörige
Anwendung gestartet:
z.B.
'.DOC': WinWord.exe oder WordPad.exe '
.XLS': Excel.exe
'.ZIP': winzip.exe
Diese Vorgehensweise versteckt den Wurm sehr effektiv und
während der Benutzer sich das empfangene Dokument ansieht,
wird der Wurm wie oben beschrieben auf dem System installiert.
Der Wurm sammelt E-MAIL-Adressen aus dem Windows-Adress-Buch
('*.wab Dateien) und versucht E-Mail-Adressen aus dem temporären
Internet-Dateien-Verzeichnis ('sho*', 'get*', 'hot*', '*.html'
) herauszulesen. Hat der Benutzer einen funktionierenden E-MAIL-Zugang,
benutzt er diese Einstellungen. Andernfalls benutzt er '[Benutzername]@prodigy.mx.net'
als Standard-Absender-Adresse und 'prodigy.net.mx' als SMTP-Server.
Der Wurm erzeugt eine Datei 'sc*.dll' (die Endung *.dll soll
eine Systemdatei vortäuschen). Sie enthält eine
Liste von Dateien mit bestimmten Endungen (z.B. .DOC, .ZIP,
.JPG) aus dem Verzeichnis "Eigene Dateien" ('My
Documents') des Users. Da Benutzer häufig dieses Verzeichnis
für persönliche oder firmeninteren Dokumente gebrauchen,
kann der Wurm vertrauliche Informationen versenden.
Dabei sendet er aus der Dokumenten-Liste der 'sc*.dll' ein
Dokument als Anhang an die gesammelten E-Mail-Adressen, indem
er es an die Wurm-Datei anheftet.
Die Anhänge erhalten zudem eine doppelte Endung, z.B.
.DOC.EXE, .XLS.PIF usw.
Die Dateien mit den Endungen '.COM', '.BAT', '.PIF' und '.LNK'
werden als 2. (ausführbare) Erweiterung gebraucht.
Meldungen des SirCam-Wurms sehen so aus:
Von: [Benutzer der infizierten
Maschine@prodigy.net.mx]
An: [zufalls@email.ausdem.address.buch]
Betreff: Dokument-Name (ohne Endung)
Hi!
How are you?
I send you this file in order to have your advice
See you later! Thanks
Bei einem System mit spanischsprachiger Einstellung sieht
die Mail so aus:
Von: [Benutzer der infizierten
Maschine@prodigy.net.mx]
An: [zufalls@email.ausdem.address.buch]
Betreff: Dokument-Name (ohne Endung)
Hola como estas ?
Te mando este archivo para que me des tu punto de vista
Nos vemos pronto, gracias
Der 2. Satz des Mailtextes (Body) wird nach dem Zufallsprinzip
aus vier verschiedenen Möglichkeiten ausgewählt:
I send you this file in order to have your advice
I hope you can help me with this file that
I send I hope you like the file that
I send to you This is the file with the information that you
ask for
oder in Spanisch
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la información que me pediste
Der Wurm kann sich -wie oben bereits erwähnt- auch innerhalb
eines Microsoft Windows-Netzwerkes (Shares) ausbreiten. Er
sucht auf dem infizierten System in allen freigegebenen Verzeichnissen
in einem Netzwerk nach beschreibbaren '\recycled'-Verzeichnissen
und versucht sie zu infizieren. Dabei kopiert er nach \\[Freigabename]\recycled\'
die Datei 'SirCam32.exe'
Die Datei \\[Freigabename]\autexec.bat wird ergänzt um
die Zeile
'@win \recycled\SirC32.exe'.
Dadurch wird beim nächsten Start des betroffenen Systems
der Wurm dort aktiv und ausserdem wird die oben erwähnte
(Punkt 3) Manipulation von 'rundll32.exe' vorgenommen.
Payload/Schadfunktion
Der Wurm hat 2 Schadfunktionen:
Am 16. Oktober löscht der Wurm per Zufallsprinzip in
1 von 20 Fällen das gesamte WINDOWS-Verzeichnis und entfernt
alle darin enthaltenen Verzeichnisse.
An jedem anderen Tag erstellt der Wurm ebenfalls nach dem
Zufallsprinzip in 1 von 50 Fällen eine Datei ':\recycled\sircam.sys'
auf dem Laufwerk, auf dem Windows installiert ist. Dieses
füllt nach und nach die Festplatte des Systems.
Der Inhalt der Datei:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
oder
[SirCam Version 1.0 Copyright
© 2001 2rP Made in / Hecho en -
Cuitzeo, Michoacan Mexico]
Anleitung zur Beseitigung des Wurms:
Sollte Ihr System infiziert sein, so laden Sie bitte herunter
ftp://ftp.europe.f-secure.com/anti-virus/tools/sirc_dis.reg
und doppelclicken Sie anschliessen auf die Datei.
Dieses löscht die Start-Veknüpfung des Wurms mit
der Ausführung von EXE-Dateien in der Registry und die
weiteren Änderungen, die der Wurm dort vorgenommen hat.
ACHTUNG!
Das System kann instabil werden, wenn die Dateien des Wurms
gelöscht werden, bevor dieser Registry-Eintrag geändert
wurde.
Anschliessend können Sie mit F-SECURE oder FP-WIN diesen
Wurm löschen. Sollte Windows sich weigern, Dateien zu
löschen (gesperrte Dateien), so gehen Sie bitte in den
DOS-Modus und starten Sie F-PROT für DOS.
Sollte eine Workstation in einem Microsoft-Netzwerk-Share
infiziert worden sein, so ist nach eine Desinfektion \windows\run32.exe'
wieder in '\windows\rundll32.exe' umzubenennen. Ebenso muss
\recycled\SirC32.exe gelöscht werden und die zusätzliche
Zeile in der AUTOEXEC.BAT ist zu entfernen.
Wenn ein Netzwerk infiziert wurde und es ist nicht möglich
alle Workstation herunterzufahren, um sie zu desinfizieren,
dann hilft folgende Vorgehensweise:
Im Verzeichnis \Recycled\ auf dem Laufwerk, auf dem Windows
installiert wurde, legt man eine Dummy-Datei SIRC32.EXE an
und gibt dieser Datei das Attribut "nur lesen" (read-only).
[Analysis: Gergely Erdelyi, Alexey Podrezov F-Secure Corp.;
18.-23 Juli 2001; Deutsche Übersetzung:
B. Jacobs für F-PROT in Deutschland und @ntivirus-shop.com]
|
