W32/Sircam-A

Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.

Lesen Sie bitte die Hinweise zur Desinfektion von W32/Sircam-A.

W32/Sircam-A ist ein Netzwerk-fähiger Wurm. Der Wurm verbreitet sich per E- Mail und über offene Netzwerkfreigaben. Der Wurm erscheint in einer E-Mail mit zufällig gewähltem Subject, das mit dem Namen der angehängten Datei übereinstimmt.

Der Name der angehängten Datei ist ebenfalls zufällig gewählt, allerdings hat sie eine doppelte Erweiterung (z. B. doc.com oder mpg.pif).

Wird das Attachment geöffnet, kopiert sich der Wurm selbst mit dem Dateinamen scam32.exe in das Systemverzeichnis von Windows. Der Wurm kopiert sich ebenfalls als eine Datei namens sirc32.exe in das Papierkorb-Verzeichnis, wobei seine Dateiattribute verborgen sind.

Der Wurm ändert den Registry Key HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Driver32 so, dass er bei jedem Start von Windows ausgeführt wird. Der Registry Key HKCR\exefile\shell\open\command wird ebenfalls geändert, so dass der Wurm startet, bevor eine andere ausführbare Datei geöffnet wird.

Der Wurm verwendet den Registry Key HKLM\Software\SirCam, um Daten zu speichern, die intern vom Wurm-Code verwendet werden.

Wenn der Wurm eine offene Netzwerkfreigabe findet, versucht er, sich in das Windows-Verzeichnis auf dem Rechner mit einer offenen Freigabe zu kopieren, wobei der Dateiname rundll32.exe lautet. Die originale Datei rundll32.exe wird in run32.exe umbenannt. Wenn dies gelungen ist, ändert der Wurm die Datei autoexec.bat, so dass sie einen Befehl enthält, durch den die Wurm-Datei gestartet wird, die zuvor im Verzeichnis C:\recycled abgelegt wurde.

Der Wurm enthält seine eigene SMTP-Routine, die verwendet wird, um E-Mails an E-Mail-Adressen aus dem Adressbuch von Windows und aus dem temporären Internet-Ordner zu senden, wo im Cache Internet-Dateien aufbewahrt werden.

Je nach der Standardsprache des Betriebssystems sind in allen E-Mails, die der Wurm versendet, die erste und letzte Zeile gleich.

Ist die Standardsprache English, lautet die erste Zeile:

"Hi! How are you?"

Er wählt dann eine der folgenden Sätze für die nächste Zeile der E-Mail aus:

"I send you this file in order to have your advice"

"I hope you like the file that I sendo you"

"I hope you can help me with this file that I send"

oder

"This is the file with the information you ask for"

Die letzte Zeile der E-Mail lautet immer:

"See you later. Thanks".

Ist die Standardsprache Spanisch, lautet die erste Zeile der E-Mail:

"Hola como estas ?"

Er wählt dann einen der folgenden Sätze für die nächste Zeile der E-Mail aus:

"Te mando este archivo para que me des tu punto de vista"

"Espero te guste este archivo que te mando"

"Espero me puedas ayudar con el archivo que te mando"

oder

"Este es el archivo con la informacion que me pediste"

Die letzte Zeile der E-Mai lautet immer:

"Nos vemos pronto, gracias.".

Der Virus enthält verschiedene zerstörerische Nebeneffekte.

Es besteht eine Chance von 1 zu 50, dass der Virus eine Datei namens Sircam.sys im Papierkorb-Verzeichnis (normalerweise unter c:\recycled) erstellt, die mit einer der zwei folgenden Zeichenketten gefüllt wird, bis kein Platz mehr auf der Festplatte zur Verfügung steht:

[SirCam_2rp_Ein_NoC_Rma_CuiTze0_MicH_MeX]

oder

[SirCam Version 1.0 Copyright - 2000 2rP Made in / Hecho en -Cuitzeo, Michoacan Mexico]

Der Virus enthält einen zerstörerischen Nebeneffekt, der aktiviert wird, wenn eine der Standarddateien, die W32/Sircam ablegt (z. B. Sirc32.exe oder Scam32.exe) umbenannt und dann ausgeführt wird.

Der Virenautor versucht, diesen Nebeneffekt am 16. Oktober auszulösen, mit einer Wahrscheinlichkeit von 1 zu 20, wenn das Datum des infizierten Computers in der Form TT/MM/JJJJ eingestellt wurde (z. B. 16/10/2001). Aufgrund eines Fehlers im Virencode wird dieser datumsbezogene Nebeneffekt nicht aktiviert.