| | Última Modificació del Document
26 de juliol de 2001 |
|
|
 | | | Resum | | Valoració | | W32/Sircam és un cuc que es distribueix a traves del correu electrònic. Un cop executat, pot revelar o esborrar informació sensible. | Severitat | 
| Fiabilitat | | Probabilitat | | Sistemes afectats | | | Totes les versions de Microsoft
Windows | | | Data publicació avís | ID a CVE | | 25-07-2001 23:00 | | Data modificació avís | Utilització remota | 26-07-2001 22:15 | Sí | | Versió de l'avís | Obtenció privilegis administrador | 2 | No | | |
|
| | | El CERT ha publicat un butlletí per tal d'informar sobre l'existència del cuc Sircam (anomenat al butlletí W32/Sircam). La informació de l'avís del CERT actualitza i complementa la informació prèviament publicada a quands.com. |
| | | Descripció W32/Sircam pot infectar una màquina de dues formes diferents: - Quan s'executa el fitxer associat a un missatge que conté el cuc.
- Copiant-se ell mateix als recursos no protegits d'una xarxa.
Propagació per correu electrònic El virus pot aparèixer a un missatge escrit bé en anglès o castellà, amb un títol (tema de missatge o subject) aparentment aleatori. Totes les versions conegudes de W32/Sircam fan servir el següent format de cos de missatge: |
| | | Anglès | Castellà | Hi! How are you? | Hola como estas ? | [línia intemèdia] | [línia intermèdia] | See you later. Thanks | Nos vemos pronto, gracias. |
|
| | | [línia intemèdia] pot ser una de les següents |
| | | | | Anglès I send you this file in order to have your advice
I hope you like the file that I sendo you
I hope you can help me with this file that I send
This is the file with the information you ask for Castellà Te mando este archivo para que me des tu punto de vista
Espero te guste este archivo que te mando
Espero me puedas ayudar con el archivo que te mando
Este es el archivo con la informacion que me pediste | | | | Els receptors dels missatges amb el cuc poden reconèixer el remitent. Desaconsellem als usuaris que obrin qualsevol document rebut a traves del correu electrònic, amb independència del nom del remitent, sinó tenim constància prèvia de l'origen del fitxer o bé el podem validar amb una signatura digital. El missatge té associat un fitxer amb el mateix nom que l'indicat al tema (subject) del missatge, amb una doble extensió (per exemple, tema.ZIP.BAT o tema.DOC.EXE), El CERT ha confirmat informes en els que la primera extensió del documento pot ser .DOC, .XLS o .ZIP. Diversos distribuïdors de programes antivírics han informat d'altres extensions, entre elles .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG i .PS. La segona extensió pot ser .EXE, .COM, .BAT, .PIF o .LNK. El fitxer associat inclou el contingut original del fitxer existent al sistema infectat com una còpia del cuc. Quan s'obre el fitxer associat al missatge que conté el cuc, es copia al directori indicat per la variable d'entorn TEMP (habitualment C:\WINDOWS\TEMP) i dins de la carpeta Recycled. A continuació, el fitxer original es obert amb el visualitzador per omissió mentre que el procés d'infecció continua en segon terme. W32/Sircam disposa de les seves pròpies capacitats com a client SMTP, que les utilitza per a la propagació pel correu electrònic. Determina la llista de receptors realitzant una cerca recursiva de les adreces de correu emmagatzemades a tots els fitxers .WAB (Llibretes d'adreces de Windows) existents a la carpeta %SYSTEM%. Addicionalment, també fa la cerca als directoris indicats a per fitxers que continguin adreces de correu. Totes les adreces localitzades són enregistrades als fitxers ocults SC??.DLL o S??.DLL dins de la carpeta %SYSTEM%. | | | W32/Sircam prova, en primer lloc, d'enviar missatge amb els valors de correu per omissió de l'usuari actual. Si aquests valors no són presents, intenta utilitzar algun d'aquests servidors de correu: - prodigy.net.mx
- Nom NetBIOS de ‘MAIL'
- mail.<domini_per_omissió> (per exemple, mail.exemple.org)
- dobleclick.com.mx
- enlace.net
- goeke.net
Propagació a traves dels recursos compartits de la xarxa A més de la propagació pel correu electrònic, l'anàlisi realitzat pels fabricants de programes antivírics suggereix que W32/Sircam pot propagar-se també utilitzant els recursos compartits sense protecció existents a la xarxa. Al contrari que la propagació pel correu electrònic, on cal la intervenció de l'usuari, la propagació de W32/Sircam a traves dels recursos compartits de la xarxa no necessita cap mena d'intervenció humana. En el cas de W32/Sircam detecta l'existència de recursos compartits a la xarxa Windows amb permisos d'escriptura: - Es copia ell mateix a \\[recurs]\Recycled\SirC32.EXE
- Afegeix “@ win\Recycled\SirC32.EXE” al fitxer AUTOEXEC.BAT
Si dins el recurs compartit hi ha una carpeta de Windows, addicionalment fa - Copia \\[recurs]\Windows\rundll32.exe a
\\[recurs]\Windows\run32.exe - Es copia ell mateix a \\[recurs]\Windows\rundll32.exe
- Quan s'executa el virus des de rundll32.exe, executa run32.exe
Procés d'infecció - Quan s'instal·la a una màquina víctima, W32/Sircam crea còpies d'ell mateix a dos fitxers ocults:
- %SYSTEM%\SCam32.exe
- Recycled\SirC32.exe
La instal·lació dins de Recycled pot fer que resti ocult als programes antivírics ja que molts, en la seva configuració per omissió, no analitzen aquesta carpeta. En base a anàlisis externes, és possible que W32/Sircam també es copiï ell mateix a la carpeta %SYSTEM% amb el nom ScMx32.exe. En aquest cas, es crea una altra còpia a la carpeta indicada a HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Shell Folders\Startup (que correspon a la carpeta d'inici de l'usuari). La còpia que es crea dins d'aquesta carpeta s'anomena Microsoft Internet Office.exe. La propera vegada que l'usuari es connecti, aquest còpia de W32/Sircam es executada de forma automàtica. - L'entrada del registre
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices\Driver32
s'estableix a %SYSTEM%\SCam32.exe de forma que W32/Sircam serà executat la propera vegada que s'iniciï la màquina.
- S'estableix l'entrada del registre
HKEY_CLASSES_ROOT\exefile\shell\open\command
a “C:\Recycled\SirC32.exe” “%l %*” de forma que W32/Sircam serà executat la propera vegada que s'executi qualsevol altra programa.
- Es crea una nova entrada del registre,
HKEY_LOCAL_MACHINE\Software\SirCam
per tal d'emmagatzemar la informació que necessita W32/Sircam durant la seva execució.
- W32/Sircam cerca tots els fitxers amb extensió .DOC, .XLS i .ZIP existents a les carpetes indicades a
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Shell Folders\Personal
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Shell Folders\Desktop
Si bé la ubicació de la carpeta personal pot ser modificada, habitualment es
\My Documents
o
\Windows\Profiles\%username%\Personal
Una relació de tots aquests documents es enregistrada a %SYSTEM%\scd.dll.
- W32/Sircam afegeix el seu codi binari als fitxers seleccionats, els envia i emmagatzema la versió modificada dins la carpeta Recycled.
| | Impacte W32/Sircam pot tenir un impacte directe tant a l'ordinador que ha infectat com a l'ordinador amb el que es comunica per correu electrònic. - Confidencialitat. El codi del cuc, com a mínim, realitzarà una cerca a les carpetes de l'usuari per localitzar fitxers sensibles. Aquesta mena d'atac és realment molt seriós ja que pot ser impossible de recuperar la situació normal. Una vegada que un fitxer ha estat distribuït de forma pública, qualsevol informació sensible existent al seu interior no pot ser retirada.
- Limitació de la disponibilitat (Denegació de servei)
- Omplir el disc dur. En base a anàlisis externes, hi ha una probabilitat que a una determinada data es crearà un fitxer anomenat c:\Recycled\sircam.sys que ocupi tot l'espai lliure disponible a la unitat C:
- Propagació amb enviament massiu de missatges. W32/Sircam intenta propagar-se enviant copies d'ell mateix a totes les adreces, amb el procediment descrit anteriorment. Aquesta propagació pot originar congestions als servidors de correu, impedint el seu normal funcionament.
NOTA: Com W32/Sircam utilitza les seves pròpies funcions SMTP per a connectar amb els servidors de correu predefinits, la seva propagació es independent del programa de correu utilitzat.
- Pèrdua de la integritat. Hi han informes que indiquen la possibilitat de que el 16 d'octubre, W32/Sircam intenta esborrar tots els fitxers existents a la unitat on està instal·lat Windows (habitualment, la unitat C:).
| | Solució - Mantenir actualitzat el programa antivíric.
- Augmentar les precaucions abans d'obrir qualsevol fitxer associat a un missatge.
- Realitzar un filtratge del correu
Per a més informació Butlletí del CERT
http://www.cert.org/advisories/CA-2001-22.html Aladdin Knowledge Systems
http://www.esafe.com/home/csrt/valerts2.asp?virus_no=10068 Central Command Inc
http://support.centralcommand.com/cgi-bin/command.cfg/php/
enduser/std_adp.php?p_refno=010718-000010 Command Software Systems
http://www.commandsoftware.com/virus/sircam.html Computer Associates
http://www.cai.com/virusinfo/encyclopedia/descriptions/s/
sircam137216.htm Data Fellows Corp
http://www.datafellows.com/v-descs/sircam.shtml McAfee
http://vil.mcafee.com/dispVirus.asp?virus_k=99141& Norman Data Defense Systems
http://www.norman.com/virus_info/w32_sircam.shtml Panda Software
http://www.pandasoftware.es/vernoticia.asp?noticia=987 Proland Software
http://www.pspl.com/virus_info/worms/sircam.htm Sophos
http://www.sophos.com/virusinfo/analyses/w32sircama.html Symantec
http://www.symantec.com/avcenter/venc/data/w32.
sircam.worm@mm.html Trend Micro
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?
VName=TROJ_SIRCAM.A |
|
