Symptomes
Alias :
W32.Sircam.Worm@mm, W32/SirCam@mm, Backdoor.SirCamDétection :
Détecté par Sophos Anti-Virus depuis juillet 2001.
Description :
W32/Sircam-A est un ver de réseaux. Le ver se propage par le biais d'e-mails et en utilisant des partages réseau ouverts. Le ver arrive dans un e-mail comportant un sujet choisi de façon aléatoire et identique au nom de la pièce jointe.
Le nom de la pièce jointe est aussi choisi de façon aléatoire mais doté d'une double extension (par exemple, .doc.com ou .mpg.pif).Si la pièce jointe est ouverte, le ver se copie dans le répertoire système de Windows sous le nom de fichier scam32.exe. Le ver se copie également dans le répertoire Recycled sous le nom sirc32.exe, en fichier caché.
Le ver change aussi la clé de registre HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Driver32 pour qu'il s'exécute au démarrage de Windows. La clé de registre HKCR\exefile\shell\open\command est aussi changée pour que le ver s'exécute avant l'ouverture de tout autre fichier exécutable.
Le ver utilise la clé de registre HKLM\Software\SirCam pour enregistrer les données utilisées par son propre code.
Si le ver trouve un partage réseau ouvert, il essaie de se copier sur la machine ayant un partage ouvert sous le nom de fichier rundll32.exe, dans le répertoire Windows. Le fichier original rundll32.exe est renommé en run32.exe. S'il y parvient, le ver change le fichier autoexec.bat pour qu'il inclue une commande d'exécution du ver précédemment placé dans le répertoire C:\recycled.
Le ver contient sa propre routine SMTP qui est utilisée pour envoyer les e-mails aux adresses qu'il trouve dans le carnet d'adresses de Windows et dans le dossier Temporary Internet Files, où les fichiers cache d'Internet sont conservés.
Selon la langue par défaut du système d'exploitation, chaque message e-mail envoyé par le ver contiendra toujours les mêmes première et dernière lignes.
Si la langue par défaut est l'anglais, la première ligne du message sera
"Hi! How are you?"
Il choisit ensuite l'une des quatre phrases suivantes comme nouvelle ligne du message :
"I send you this file in order to have your advice"
"I hope you like the file that I sendo you"
"I hope you can help me with this file that I send"
ou
"This is the file with the information you ask for"
La dernière ligne du message est toujours :
"See you later. Thanks".
Si la langue par défaut est l'espagnol, la première ligne du message sera
"Hola como estas ?"
Il choisit ensuite l'une des quatre phrases suivantes comme nouvelle ligne du message :
"Te mando este archivo para que me des tu punto de vista"
"Espero te guste este archivo que te mando"
"Espero me puedas ayudar con el archivo que te mando"
ou
"Este es el archivo con la informacion que me pediste"
La dernière ligne du message est toujours :
"Nos vemos pronto, gracias.".
Le ver contient plus d'une charge destructive.
Il y a 1 chances sur 50 pour que le virus crée un fichier nommé Sircam.sys, dans le répertoire Recycled (généralement situé sur c:\recycled), qui est rempli par l'une des deux phrases suivantes :
[SirCam_2rp_Ein_NoC_Rma_CuiTze0_MicH_MeX]
ou
[SirCam Version 1.0 Copyright - 2000 2rP Made in / Hecho en -Cuitzeo, Michoacan Mexico]
jusqu'à ce qu'il n'y ait plus d'espace sur le disque dur.
Le virus contient une charge destructive qui peut être activée si l'un des fichiers standards placés par W32/Sircam (par exemple, Sir32.exe ou Scam32.exe) est renommé puis exécuté.
L'auteur du virus voulait aussi que cette charge se déclenche le 16 octobre, avec une chance de 1 sur 20, si les paramètres de l'ordinateur infecté ont été configuré pour afficher la date dans le format jj/mm/aaaa (par exemple, 16/10/2001). Cependant, un bug dans le code du virus empêche le déclenchement de cette charge.
Veuillez remarquer : Comme le virus peut se propager tout seul en utilisant les extensions de fichier .EXE, .COM, .LNK, .PIF et .BAT, le support technique de Sophos recommande aux utilisateurs d'ajouter LNK et BAT dans la liste des extensions de fichiers que Sophos Anti-Virus contrôle.
Veuillez vous référer aux FAQ "Comment ajouter des extensions dans la liste des fichiers exécutables" pour réaliser cette opération.
Symptomes Destruction Utilitaire Retour
Vous avez été infecté par le Virus Sircam A .
Vous trouverez dans le fichier exécutable pour supprimer le Virus Sircam A en cliquant sur le lien utilitaire.
Un fois que le téléchargement est terminé Double cliquer sur le fichier.
L’écran suivant apparaît :
Appuyer sur une touche
La fenêtre MS DOS se ferme.
Votre poste de travail a été nettoyé du virus Sircam
Symptomes Destruction Utilitaire Retour
Utilitaire
Fichier à télécharger : rmsirc
Symptomes Destruction Utilitaire Retour