|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es | Anterior |
Nombre de virus: W32/SirCam@MM
Alias conocidos: -
Riesgo Infección: Alto (Bajo, Alto, Muy
Alto)
Activación: Por ejecución de fichero ejecutable
adjunto en e-mail
Propagación: Por correo electrónico y a través de red
Detección: DATS 4148
Motor necesario: 4.0.70
Infección actual: Media (Inicial, Media, Elevada)
Características del Virus
Se trata de un gusano mass-mailing que se envía, junto a documentos del equipo infectado, a la libreta de direcciones de Outlook y a direcciones de e-mail encontradas en ficheros temporales de cache de Internet (caché del navegador Web).
Puede recibirse en un mensaje de correo, con el siguiente contenido:
Asunto: [filename (random)]
Mensaje: Hi! How are you?
I send you this file in order to have your advice
o I hope you can help me with this file that I send
o I hope you like the file that I sendo you
o This is the file with the information that you ask for
See you later. Thanks
--- el mismo mensaje puede recibirse en Español ---
Hola como estas ?
Te mando este archivo para que me des tu punto de vista
o Espero me puedas ayudar con el archivo que te mando
o Espero te guste este archivo que te mando
o Este es el archivo con la información que me pediste
Nos vemos pronto, gracias.
--- fin del mensaje ---
Vendrá asociado un fichero con doble extensión (el nombre varía). La primera extensión será una de las siguientes .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, o .ZIP, mientras que la segunda extensión será una de entre BAT, .COM, .EXE, .LNK, o .PIF.
Una vez se ejecuta el adjunto, el fichero se salvará a la carpeta C:\RECYCLED (Papelera de reciclaje de Windows), y se copia como C:\RECYCLED\SirC32.exe para esconder su presencia. Igualmente, creará la siguiente clave de registro para cargarse siempre que se ejecute un fichero .EXE:
HKCR\exefile\shell\open\command
\Default="C:\recycled\SirC32.exe" "%1" %*
Como la 'Papelera de Reciclaje' de Windows acostumbra a estar en la lista de exclusiones del antivirus, compruebe que se explora el directorio C:\Recycled.
También se copia en el directorio SYSTEM de WINDOWS como SCam32.exe y crea la siguiente clave de registro para cargarse automáticamente:
HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe
El gusano utiliza su propio motor SMTP para enviarse a través de correo electrónico, y crea una clave de registro (HKLM\Software\Sircam) para almacenar variables (p.e. contador de ejecuciones, información SMTP)
Los nombres de fichero con los que se autoenvía el gusano son nombres obtenidos de la carpeta 'Mis Documentos', y que guarda en un fichero de nombre SDC.DLL (el segundo caracter es aleatorio) en WINDOWS SYSTEM. Por otro lado, las direcciones de correo recopiladas por el gusano para su envío, las guarda en un fichero SDC1.DLL (segundo y tercer caracter son aleatorios) también en WINDOWS SYSTEM.
Payload
En las pruebas realizadas en nuestro laboratorio se han advertido rutinas destructivas aleatorias que llegan en algunos casos a borrar todos los ficheros de disco duro.
Eliminación
Utilizar motor mínimo 4.0.70 y DATS min. 4148 para su detección y eliminación.
En estos monentos estamos desarrollando una herramienta de limpieza para nuestros asociados, ELISIRCA.EXE, que permita eliminar todos los restos en registro de sistema y otros provocados por el virus.
SATINFO, VIRUSCAN SPAIN SERVICE 19-07-2001