[FUGSPBR] Tudo sobre o novo virus Sircam que derrubou 10 mil servidores em um so dia !

Cleri A. Azevedo cleri em tdkom.net
Sex Jul 20 00:06:58 BRT 2001


Só para ficar informado... 



W32.Sircam.Worm em mm


Descoberto em 17 de Julho de 2001
Última Atualização em: 918 de Julho de 2001 às 12:35:10 

O W32.Sircam.Worm em mm contém seu próprio mecanismo de SMTP, e se propaga
em uma maneira similar ao W32.Magistr.Worm. O SARC tem recebido várias
submissões deste worm a partir de clientes corporativos. O worm ainda
está sendo analisado, e este aviso será atualizado assim que novas
informações se tornem disponíveis. 

Também Conhecido Como: W32/SirCam em mm, Backdoor.SirCam 

Categoria: Worm 
Definições de Vírus: 17 de Julho de 2001 


  _____  

Atuação: 

*	Número de infecções: 50 - 999 

*	Número de locais: 0 - 2 

*	Distribuição geografica: Média 

*	Controle da ameaça: Moderado 

*	Remoção: Moderada 

 

Dano: 

*	Gatilho: October 16th 

*	Carga: 


*	Envio de e-mail em larga escala: O worm incorpora aleatoriamente
documentos do próprio PC infectado. 

*	Apaga arquivos: 1 chance em 20 de apagar todos os arquivos e
diretórios em C:. 

*	Ocorre apenas nos sistemas usando o formato de data D/M/A 

*	Degrada o desempenho: 1 chance em 33 de preencher todo o espaço
restante do disco rígido, adicionando texto ao arquivo
c:\recycled\sircam.sys em cada inicialização. 

*	Comunicação de informação confidencial: Ele irá exportar um
documento aleatório a partir do disco rígido, adicionando-o ao corpo do
worm 

 

Distribuição: 

*	Assunto do e-mail: Nome do arquivo anexado 

*	Unidades compartilhadas: procura unidades compartilhadas e se
copia para aquelas que encontrar 

 

Descrição técnica: 

 

Este worm chega como uma mensagem de e-mail com o seguinte conteúdo: 

Assunto: Será aleatório, e terá o mesmo nome do arquivo anexado neste
e-mail Mensagem: O corpo da mensagem será semi-aleatório, mas sempre irá
conter uma destas duas linhas (em Inglês ou Espanhol) como a primeira e
última sentença da mensagem. 

Versão em Português:
Primeira linha: Oi! Como vai você?
Última linha: Vejo você mais tarde. Obrigado 

Versão em Espanhol: 
Primeira linha: Hola como estas? 
Última linha: Nos vemos pronto, gracias. 

Versão em Inglês:
Primeira linha: Hi! How are you? 
Última linha: See you later. Thanks 

Entre estas duas linhas, alguns dos textos a seguir podem aparecer: 

Versão em Português:
Eu envio para você este arquivo para ouvir o seu conselho
Espero que você possa me ajudar com este arquivo que enviei
Eu espero que goste do arquivo que enviei para você
Este é o arquivo com a informação que você pediu 

Versão em Espanhol:
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando 
Este es el archivo con la informacion que me pediste 

Versão em Inglês:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send you
This is the file with the information that you ask for 

Os nomes de arquivos sob os quais esta ameaça tem sido enviada são: 

SirC32.exe
Tech Specs e Financials.doc.com 

 

Quando executado, o worm irá realizar uma das seguintes ações: 

1.	Ele cria cópias dele mesmo como %TEMP%\ e C: \recycled\, que
contém o documento anexado. Este documento então é iniciado usando o
progrma registrado para lidar com este tipo específico de arquivo (isto
é, .DOC -> Winword ou WordPad, .XLS -> Excel, .ZIP -> WinZip).

  

2.	Ele se copia para C:\recycled\sirc32.exe e %System% \scam32.exe.

  

3.	Ele adiciona a chave de registro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices

com o valor

Driver32=%System%\scam32.exe 

  

4.	A chave de registro HKEY_LOCAL_MACHINE\Software\SirCam é criada
e ela irá conter os seguintes valores:
  


*	FB1B - armazena o nome do arquivo do worm como está no diretório
Recycled.
  

*	FB1BA - armazena o endereço IP do SMTP.
  

*	FB1BB - armazena o endereço de e-mail do remetente.
  

*	FC0 - armazena o número de vezes que o worm foi executado.
  

*	FC1 - armazena o que parece ser o número da versão do worm. 
  

*	FD1 - armazena o nome de arquivo do worm que tem sido executado,
sem o sufixo. 

	

  

5.	A chave de registro HKEY_CLASSES_ROOT\exefile\shell\open\command
é definida igual a 

C:\recycled\sirc32.exe "%1" %*"

Isto possibilita ao worm se auto-executar a qualquer momento em que um
arquivo .EXE é executado.


  

6.	O worm detecta rede e irá enumerar os recursos de rede para
infectar sistemas compartilhados. Se algum for encontrado, ele fará o
seguinte:
tenta se copiar para \recycled\sirc32.exe
adiciona a linha "@win \recycled\sirc32.exe" ao arquivo \autoexec.bat
copia \Windows\rundll32.exe para 
\Windows\run32.exe
substitui \Windows\rundll32.exe por c:
\recycled\sirc32.exe

  

7.	Existe 1 chance em 33 de ocorrerem as seguintes ações:
o worm se copiar de C:\recycled\sirc32.exe para %Windows%\scmx32.exe
o worm se copiar como "Microsoft Internet Office.exe" para o diretório
referenciado na chave de registro


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\She
ll Folders\Startup 

  

8.	Se a primeira carga for ativada, o arquivo
c:\recycled\sircam.sys será criado e preenchido com texto até que não
exista mais espaço no disco rígido. O texto poderá ser uma das duas
strings:
[SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX] ou [SirCam Version 1.0
Copyright 2000 2rP Made in / Hecho en - 
Cuitzeo, Michoacan Mexico]

  

9.	Existe 1 chance em 20 de que, em 16 de Outubro de qualquer ano,
o worm repetidamente apague todos os arquivos e diretórios que estão no
C:

Esta carga somente funciona em máquinas que usam o formato de data D/M/A
(com o oposto de M/D/A, etc)

  

10.	O worm contém seu próprio servidor de SMTP que é usado para a
rotina de e-mail. Ele obtém os endereços de e-mail através de 2 métodos
diferentes:
  


*	Irá localizar o diretório referenciado para ser a chave de
registro

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Shell Folders\Startup\Cache

para arquivos sho*., get*., hot*., *.htm e copia os endereços de e-mail
dali para o arquivo %Windows%\sc??.dll (onde? é uma letra e números
aleatórios) 

*	Ele procura em toda a unidade *.wab (todos os Catálogos de
Endereços do Windows) e copia os endereços dali. 

	

  

11.	Ele irá procurar nos diretórios referenciados nas chaves de
registro

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Shell Folders\Startup\Personal

e 

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Shell Folders\Startup\Desktop

por arquivos do tipo .DOC, .XLS, .ZIP, e .EXE. Se ele encontrar, o
arquivo correspondente será anexado ao executável original do worm e
este novo arquivo será enviado como o anexo do e-mail.

  

12.	Depois de 8.000 execuções, o worm deixará de ser executado. 

 

 


Instruções de remoção:


Para remover o worm: 

1.	Execute o LiveUpdate para ter certeza que você possui as
definições de vírus mais atuais. 

2.	Inicie o Norton AntiVirus (NAV), e execute uma verificação
completa do sistema, tendo certeza de que o NAV está configurado para
verificar todos os arquivos. 

3.	Apague quaisquer arquivos detectados como W32.Sircam.Worm em mm. 

4.	Apague o arquivo c:\recycled\sircam.sys se ele existir. 

5.	Edite o arquivo autoexec.bat e remova a linha
"@win\recycled\sirc32.exe" se ela existir. 

 

Copie Regedit.exe para Regedit.com:
O worm modifica o registro de modo que um arquivo infectado é executado
toda vez que você tenta iniciar um arquivo .EXE. Para corrigir isto você
precisa realizar as seguintes etapas. 

1.	Faça uma das seguintes coisas, dependendo de qual sistema
operacional você está executando: 


*	Usuários do Windows 95/98: Clique Iniciar, aponte para
Programas, e clique em Prompt do MS-DOS. 

*	Usuários Windows NT/2000: 


1.	Clique em Iniciar, e clique em Executar. 

2.	Clique Localizar, e procure a pasta \Winnt\system32. 

3.	Clique duas vezes no arquivo Command.com, e então clique OK. 

 

 

1.	Digite "copy regedit.exe regedit.com" e aperte Enter. 

2.	Digite "start regedit.com" e aperte Enter. 

3.	Vá para a seção "Para editar o registro e remover chaves e
alterações feitas pelo worm" apenas depois de ter completado as etapas
anteriores. 

 

NOTA: Isto irá abrir o Editor de Registro na frente da janela DOS.
Depois que você terminar de editar o registro e tiver fechado o Editor
de Registro, feche a janela DOS. 

Para editar o registro e remover chaves e alterações feitas pelo worm: 

CUIDADO: Nós recomendamos veementemente que você faça uma cópia do
registro do sistema antes de fazer qualquer alteração. Mudanças
incorretas no registro podem resultar na perda permanente de dados ou em
dados corrompidos. Por favor, tenha certeza de modificar apenas as
chaves especificadas neste documento. Para mais informações sobre como
fazer uma cópia do registro, por favor leia "Como Fazer uma Cópia do
Registro do Windows" antes de prosseguir com as próximas etapas. Se você
acha que não pode realizar estas etapas corretamente, então não
continue. Consulte um técnico em informática para maiores informações. 

 

1.	Navegue e selecione a seguinte chave:

HKEY_CLASSES_ROOT\exefile\shell\open\command 

CUIDADO: A chave HKEY_CLASSES_ROOT contém muitas subchaves que
referem-se a outras extensões. Uma destas extensões de arquivo é .exe.
Mudar esta extensão pode fazer com que quaisquer arquivos com uma
extensão .exe não sejam mais executados. Tenha certeza de navegar por
todo este caminho até chegar na subchave \command. 
Não modifique a chave HKEY_CLASSES_ROOT\.exe.
Não modifique a subchave HKEY_CLASSES_ROOT\exefile\shell\open\command
que é mostrada na figura a seguir:

  

2.	Clique duas vezes o valor (Padrão) no painel da direita.

  

3.	Apague os dados do valor atual, e então digite: "%1" %* (Isto é,
digite os seguintes caracteres:
aspas-porcento-um-aspas-espaço-porcento-asterisco.)

NOTE: O Editor de Registro automaticamente irá colocar o valor dentro de
aspas. Quando você clicar em OK, o valor (Padrão) deve estar exatamente
assim: ""%1" %*"

  

4.	Tenha certeza de apagar completamente todos os dados do valor na
chave command antes de digitar o dado correto. Se um espaço for deixado
acidentalmente no início do registro, qualquer tentativa de executar
arquivos de programa irá resultar em uma mensagem de erro , "O Windows
não pode achar .exe." ou "É impossível localizar C:\ ."

  

5.	Navegue e selecione a seguinte chave:

HKEY_LOCAL_MACHINE\Software\SirCam

  

6.	No painel esquerdo, clique com o botão direito do mouse em
SirCam e selecione Excluir. Isto irá apagar a subchave e todo o seu
conteúdo. Como esta chave foi criada pelo worm, ela pode ser apagada com
segurança.

  

7.	Navegue para e selecione a seguinte chave:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices


  

8.	No painel direito, procure e selecione o valor Driver32.

  

9.	Aperte Delete, e então clique Sim para confirmar. 



----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.



Mais detalhes sobre a lista de discussão freebsd