Guida al
virus Sircam, ai Worm ed alla loro eliminazione |
|
Considerata la larga diffusione in rete negli ultimi
tempi di virus molto fastidiosi ALICOM Swiss ha pensato di inviare un mailing occasionale
(non ne verranno inviati altri) con delle informazioni e dei possibili antidoti contro i
citati virus, sicuri che potranno tornare utili a molti utenti.
Se pensate che il vostro PC sia infetto da un Virus Worm non specifico, magari dopo aver
aperto un allegato giuntovi per posta elettronica, ecco un link che potrà sicuramente
aiutarvi facendo la scansione del vostro PC, individuando ed eliminando i virus in esso
presenti.
http://195.191.174.10/start.html
Vi sarà richiesto di scaricare l'antivirus e poi seguite le semplici istruzioni
riportate.
Se il vostro PC è infetto da SirCam perchè avete aperto un allegato giuntovi per posta
elettronica, cliccate qui sotto per trovare il probabile rimedio. La NAI ha
infatti messo a punto un programmino per rimuoverlo:
http://download.nai.com/products/media/mcafeeb2b/zip/scrmove2.zip
oppure.....
Di seguito vi riportiamo un sistema piú complesso ma anche piú sicuro per l'eliminazione
del virus Sircam, offerto da http://www.untruccoalgiorno.it
Guida a Sircam e come cercare di limitare i danni
-------------------------------------------------
Come è fatto il virus:
Sircam fa parte della categoria dei Worm e puó diffondersi via Internet oppure attraverso
computer collegati in rete locale. Il worm in questione e' costituito da un file
eseguibile di circa 130 KB di lunghezza scritto in Delphi (un compilatore prodotto da
Borland). Al momento della diffusione, il worm puo' appendere a se stesso un file DOC,
XLS, ZIP o di altro tipo (come quelli che vi diro' piu' sotto), quindi la lunghezza del
worm puo' essere superiore ai 130 KB. Una volta eseguito (ad esempio, per mezzo di un clic
del mouse su un file allegato a un messaggio di posta elettronica) il worm si installa nel
sistema, invia dei messaggi infetti che hanno il worm in allegato, infetta dei computer
collegati in rete locale, se sono presenti dei drive condivisi, e in base alla data di
sistema esegue il proprio payload (routine distruttiva).
Come si diffonde via e-mail:
Il worm invia se stesso da computer infetti sotto forma di allegato a dei messaggi di
posta elettronica. Il file allegato ha un nome variabile e una estensione doppia e quindi
puo' essere facilmente identificabile.
Esempio:
nomefile.ext1.ext2
dove "ext1" può essere una delle seguenti estensioni DOC, XLS, ZIP, EXE
Mentre "ext2" viene selezionata casualmente tra PIF, LNK, BAT, COM
Ad esempio:
feb01.xls.pif
normas.doc.bat
Il "nomefile.ext1" viene determinato da uno dei file presenti sulla macchina
infettata:
il worm, infatti, compie una ricerca sul computer usando come parametro l’estensione
"ext1" e una volta trovato un file che soddisfa tale condizione, ne usa il nome
per determinare quello dell’allegato infetto.
Quindi il worm legge il contenuto del file trovato, lo appende in coda a una copia di se
stesso e la spedisce sotto forma di allegato a un messaggio di posta elettronica.
I files infetti che vengono spediti via e-mail sono costituiti da due parti:
1.una copia del worm
2.un file appeso in coda al codice del worm, selezionato casualmente tra file
DOC/XLS/ZIP/EXE presenti sul sistema infetto. La cosa piu' devastante e' che il
metodo di diffusione usato dal worm puo' causare la trasmissione di informazioni
riservate. Il messaggio di posta elettronica ha come oggetto il nome del file in
allegato. Il corpo del messaggio puo' essere in due linguaggi: inglese e spagnolo.
La prima e l’ultima riga sono sempre uguali:
Prima linea : Hi! How are you? Hola como estas ?
Ultima linea: See you later. Thanks Nos vemos pronto, gracias.
Esiste anche un contenuto variabile tra la prima e l’ultima riga e viene selezionato
fra le seguenti stringhe di testo:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la información que me pediste.
Il worm ottiene gli indirizzi e-mail ai quali spedire se stesso effettuando una scansione
dei file che possono contenere indirizzi di posta elettronica: SHO*, GET*, HOT*, *.HTM,
*WAB e altri.
Il risultato delle varie ricerche effettuate dal worm viene memorizzato in una serie di
"false" DLL all’interno della cartella di sistema:
SCD.DLL: contiene una lista dei file con estensione "ext1"
SCH1.DLL, SCI1.DLL: contengono una lista degli indirizzi di posta elettronica trovati nei
file sottoposti a scansione.
SCW1.DLL: contiene l’elenco di indirizzi e-mail trovati nella Rubrica di Windows.
Oltre a questi file, possono esserci anche i file SCT1.DLL e SCY1.DLL dove il worm
memorizza altri dati.
Come si installa sul sistema:
Una volta infettato il PC, il worm copia se stesso in
1.La cartella speciale \RECYCLED del drive dove e' stato installato Windows usando il nome
SirC32.exe. Ad esempio, se Windows e' presente nella cartella C:\Windows, il worm copiera'
se stesso in C:\RECYCLED\SirC32.exe
2.Nella cartella di sistema di Windows con il nome Scam32.exe
3.Nella cartella Windows con il nome ScMx32.exe
4.Nella cartella di Esecuzione automatica di windows con il nome "Microsoft Internet
Office.exe"
E’ da notare che tali azioni non vengono compiute dal worm la prima volta che viene
eseguito, alcuni file infatti vengono creati a seconda del verificarsi di certe
condizioni.
Tutti i files creati hanno impostato l’attributo "nascosto".
Il worm registra i due primi file all’interno del Registro di sistema
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Driver32 = %windows sytem directory%\SCam32.exe
HKCR\exefile\shell\open\command
SirC32.exe
Quindi estrae nella cartella temporanea di Windows il file che ha memorizzato alla fine
del proprio codice, aprendolo con l’applicazione ad esso associata: WINWORD.EXE,
WORDPAD.EXE, EXCEL.EXE, WINZIP.EXE, a seconda del tipo di file.
Il worm crea un’ulteriore serie di chiavi nel Registro dove memorizza altri dati
HKLM\SOFTWARE\SirCam
Come si diffonde in rete locale
Per diffondersi in rete locale, il worm enumera tutte le risorse di rete del computer
infettato, ottenendo tutte le cartelle remote condivise, dove copia se stesso. Se esiste
una cartella \Recycled nella cartella condivisa, il worm vi crea una copia del proprio
codice usando il nome SirC32.exe. Quindi modifica il file AUTOEXEC.BAT inserendo alla fine
del file la linea
@win \recycled\SirC32.exe Se esiste una cartella \Windows, il worm rinomina il file
RUNDLL32.EXE in RUN32.EXE e quindi sovrascrive il file RUNDLL32.EXE originale con una
copia di se stesso. Il worm imposta l’attributo nascosto sulle proprie copie. La
routine del payload. A seconda della data e del tempo di sistema, con una probabilità di
1 a 20 il worm cancella tutti i file sul drive dove e' installato Windows e quindi rimuove
tutte le cartelle. Ogni volta che viene eseguito, con una probabilita' di 1 su 50,
il worm crea un file SirCam.sys nella cartella radice del drive corrente e vi scrive il
seguente testo, cifrato nel codice del worm: [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright © 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan
Mexico]
Sembra che il worm scriva queste frasi in un ciclo continuo, con l’intento di
esaurire lo spazio libero disponibile sul disco.
Altra cosa antipatica...
A causa di errore presente nel codice del worm, le routine del payload non vengono
eseguite correttamente, rendendo il worm meno pericoloso di quello che doveva essere nelle
intenzioni del suo autore.
Ad ogni modo, la prima routine (cancellazione di tutti i file nel drive di Windows) verrà
eseguita nel caso in cui le copie del worm SIRC32.EXE, SCAM32.EXE e RUNDLL32.EXE vengano
rinominate ed eseguite.
(Fonte: informazioni ed analisi a cura di Paolo Monti e Eugene Kaspersky di http://www.avp.it )
La regola di posta utilizzata per eliminare subito alla ricezione questi virus:
Ecco come ho fatto:
utilizzando Outlook Express, sono andato in [Strumenti-Regole] [Messaggi-Posta
elettronica], poi su [Nuova]. Adesso nel campo 1 (Selezionare le condizioni della regola)
ho settato "In cui il corpo del messaggio contiene parole specifiche" ed
ho inserito esattamente: Hi! How are you? Le quali sono le parole che si trovano
come testo standard nella mail che accompagna il virus. Aggiungete anche In cui la casella
A contiene contatti e ci mettete il vostro indirizzo e-mail.
Dopo di che, nel campo 2, ho settato la casella Elimina il messaggio.
Per sicurezza se avete altre regole, spostate questa in alto (= cioe' Outlook Express fa
in modo che sia la prima ad essere applicata).
Fatto questo, le mail con virus saranno buttate direttamente nel cestino.
Ricordatevi anche di "svuotare" il cestino, o cancellare la posta eliminata,
almeno una volta al giorno.
E con questa abbiamo anche messo a tacere un altro noioso virus...
Anche sui siti dei maggiori produttori antivirus, Symantec (http://www.sarc.com), Sophos
(http://www.sophos.com) e altri, sono disponibili tutte le informazioni necessarie a
eliminare il virus e a prevenire l'infezione.
Speriamo di esservi stati di qualche utilità, in caso contrario ci scusiamo per il
disturbo.Cordiali saluti,
ALICOM Swiss
Servizi e Prodotti per Internet
Internet Service Provider www.alicom.net
------------------""""" ***************
""""""-------------------
Siti utili e links consigliati:
http://ec2000.alicom.net - Virtual Shop Maker EC2000/2002
Per creare il vostro nuovo negozio e-commerce, gestibile da voi. Non richiede
conoscenze di programmazione. (con diversi esempi di negozi virtuali già attivi)
http://alicom.net
Per il vostro hosting o spazio sito, a tariffe vantaggiose (Cgi, Perl, php-MySql, Jserv).
Per la registrazione (mantainer) di domini internazionali ed europei.
Per lo sviluppo di siti professionali e problematiche particolari.
Connessioni e linee dedicate fino a 2MBit/sec.
Speciali condizioni per rivenditori ed operatori web.
http://GMSolvers.com (di prossima attivazione)
Per la realizzazione di Scripts e programmi professionali di ogni tipo.
----------------""""" ***************
""""""-------------------
Leggete la vostra posta anche in vacanza:
http://alicom.net/posta
Funziona con ogni account anche di Provider diversi
basta sapere il vostro pop3 (mail.tin.it o altri)
Per impostare indirizzi e-mail con outlook
http://alicom.net/supporto/outlook
Passo-passo, con esempi grafici
Guida all'FTP (con download WS-ftp Light)
http://alicom.net/supporto/ws-ftp
Passo-passo, con esempi grafici
Guida a PHP e MySql + Telnet
http://alicom.net/php-mysql/index.php
a cura di Franco Abitante www.whiteready.com
Per controllare la disponibilità o la proprietà di un dominio
http://alicom.net/domini
Inserite il vostro sito gratuitamente in 31 fra i maggiori motori di ricerca
http://www.upromote.com/ftools/freesubmit/
Portale turistico-commerciale di Benevento:
http://www.benevento.ws
Portale per i servizi universitari dell'università del Molise:
http://www.unicom99.net
Vendita di libri on line:
http://www.giorgiolieto.com
Elementi costruttivi e decorativi in pietra:
http://laneolitica.com
Musica:
http://www.gotthard.com
http://www.beatluv.com
Adulti-free (vietato l'accesso ai minorenni):
http://askformore.com
Servizi investigativi on line:
http://www.fasp.ch
http://www.aptel.net
Un sito diverso per un settore molto attivo:
http://www.funeralia.net
Test interattivi attitudinali per laureandi in medicina (sito in lingua francese):
http://concoursmedecineonline.com
WWF Svizzera italiana:
http://wwf-si.ch
Altro sui virus e curiosità varie:
http://punto-informatico.it/pi.asp?i=36924
http://punto-informatico.it/p.asp?i=36897
http://punto-informatico.it/p.asp?i=36914
http://punto-informatico.it/p.asp?i=36913
http://punto-informatico.it/uo.asp?i=1112
http://punto-informatico.it/p.asp?i=36912
http://punto-informatico.it/p.asp?i=36846
http://punto-informatico.it/uo.asp?i=1113
-------------------------------------
Per richieste, domande e consulenze inerenti il vostro sito
Internet:
webmaster@alicom.ch |
|
|
