back to home page

Guida al virus Sircam, ai Worm ed alla loro eliminazione


Considerata la larga diffusione in rete negli ultimi tempi di virus molto fastidiosi ALICOM Swiss ha pensato di inviare un mailing occasionale (non ne verranno inviati altri) con delle informazioni e dei possibili antidoti contro i citati virus, sicuri che potranno tornare utili a molti utenti.
Se pensate che il vostro PC sia infetto da un Virus Worm non specifico, magari dopo aver aperto un allegato giuntovi per posta elettronica, ecco un link che potrÓ sicuramente aiutarvi facendo la scansione del vostro PC, individuando ed eliminando i virus in esso presenti.
                                              http://195.191.174.10/start.html
Vi sarÓ richiesto di scaricare l'antivirus e poi seguite le semplici istruzioni riportate.
Se il vostro PC Ŕ infetto da SirCam perchŔ avete aperto un allegato giuntovi per posta elettronica, cliccate qui sotto per trovare il probabile rimedio.   La NAI ha infatti messo a punto un programmino per rimuoverlo: 
                   http://download.nai.com/products/media/mcafeeb2b/zip/scrmove2.zip
oppure.....
Di seguito vi riportiamo un sistema pi˙ complesso ma anche pi˙ sicuro per l'eliminazione del virus Sircam, offerto da http://www.untruccoalgiorno.it  

Guida a Sircam e come cercare di limitare i danni
-------------------------------------------------
Come Ŕ fatto il virus:
Sircam fa parte della categoria dei Worm e puˇ diffondersi via Internet oppure attraverso computer collegati in rete locale. Il worm in questione e' costituito da un file eseguibile di circa 130 KB di lunghezza scritto in Delphi (un compilatore prodotto da Borland). Al momento della diffusione, il worm puo' appendere a se stesso un file DOC, XLS, ZIP o di altro tipo (come quelli che vi diro' piu' sotto), quindi la lunghezza del worm puo' essere superiore ai 130 KB. Una volta eseguito (ad esempio, per mezzo di un clic del mouse su un file allegato a un messaggio di posta elettronica) il worm si installa nel sistema, invia dei messaggi infetti che hanno il worm in allegato, infetta dei computer collegati in rete locale, se sono presenti dei drive condivisi, e in base alla data di sistema esegue il proprio payload (routine distruttiva).
Come si diffonde via e-mail:
Il worm invia se stesso da computer infetti sotto forma di allegato a dei messaggi di posta elettronica. Il file allegato ha un nome variabile e una estensione doppia e quindi puo' essere facilmente identificabile.
Esempio:
nomefile.ext1.ext2
dove "ext1" pu˛ essere una delle seguenti estensioni DOC, XLS, ZIP, EXE
Mentre "ext2" viene selezionata casualmente tra   PIF, LNK, BAT, COM
Ad esempio:
feb01.xls.pif
normas.doc.bat
Il "nomefile.ext1" viene determinato da uno dei file presenti sulla macchina infettata:
il worm, infatti, compie una ricerca sul computer usando come parametro l’estensione "ext1" e una volta trovato un file che soddisfa tale condizione, ne usa il nome per determinare quello dell’allegato infetto.
Quindi il worm legge il contenuto del file trovato, lo appende in coda a una copia di se stesso e la spedisce sotto forma di allegato a un messaggio di posta elettronica.
I files infetti che vengono spediti via e-mail sono costituiti da due parti:
1.una copia del worm
2.un file appeso in coda al codice del worm, selezionato casualmente tra file DOC/XLS/ZIP/EXE presenti sul sistema infetto.  La cosa piu' devastante e' che il metodo di diffusione usato dal worm puo' causare la trasmissione di informazioni riservate.  Il messaggio di posta elettronica ha come oggetto il nome del file in allegato. Il corpo del messaggio puo' essere in due linguaggi: inglese e spagnolo.   La prima e l’ultima riga sono sempre uguali:
Prima linea : Hi! How are you? Hola como estas ?
Ultima linea: See you later. Thanks Nos vemos pronto, gracias.
Esiste anche un contenuto variabile tra la prima e l’ultima riga e viene selezionato fra le seguenti stringhe di testo:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informaciˇn que me pediste.
Il worm ottiene gli indirizzi e-mail ai quali spedire se stesso effettuando una scansione dei file che possono contenere indirizzi di posta elettronica: SHO*, GET*, HOT*, *.HTM, *WAB e altri.
Il risultato delle varie ricerche effettuate dal worm viene memorizzato in una serie di "false" DLL all’interno della cartella di sistema:
SCD.DLL: contiene una lista dei file con estensione "ext1"
SCH1.DLL, SCI1.DLL: contengono una lista degli indirizzi di posta elettronica trovati nei file sottoposti a scansione.
SCW1.DLL: contiene l’elenco di indirizzi e-mail trovati nella Rubrica di Windows.
Oltre a questi file, possono esserci anche i file SCT1.DLL e SCY1.DLL dove il worm memorizza altri dati.
Come si installa sul sistema:
Una volta infettato il PC, il worm copia se stesso in
1.La cartella speciale \RECYCLED del drive dove e' stato installato Windows usando il nome SirC32.exe. Ad esempio, se Windows e' presente nella cartella C:\Windows, il worm copiera' se stesso in C:\RECYCLED\SirC32.exe
2.Nella cartella di sistema di Windows con il nome Scam32.exe
3.Nella cartella Windows con il nome ScMx32.exe
4.Nella cartella di Esecuzione automatica di windows con il nome "Microsoft Internet Office.exe"
E’ da notare che tali azioni non vengono compiute dal worm la prima volta che viene eseguito, alcuni file infatti vengono creati a seconda del verificarsi di certe condizioni.
Tutti i files creati hanno impostato l’attributo "nascosto".
Il worm registra i due primi file all’interno del Registro di sistema HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Driver32 = %windows sytem directory%\SCam32.exe
HKCR\exefile\shell\open\command
SirC32.exe
Quindi estrae nella cartella temporanea di Windows il file che ha memorizzato alla fine del proprio codice, aprendolo con l’applicazione ad esso associata: WINWORD.EXE, WORDPAD.EXE, EXCEL.EXE, WINZIP.EXE, a seconda del tipo di file.
Il worm crea un’ulteriore serie di chiavi nel Registro dove memorizza altri dati HKLM\SOFTWARE\SirCam
Come si diffonde in rete locale
Per diffondersi in rete locale, il worm enumera tutte le risorse di rete del computer infettato, ottenendo tutte le cartelle remote condivise, dove copia se stesso. Se esiste una cartella \Recycled nella cartella condivisa, il worm vi crea una copia del proprio codice usando il nome SirC32.exe. Quindi modifica il file AUTOEXEC.BAT inserendo alla fine del file la linea
@win \recycled\SirC32.exe Se esiste una cartella \Windows, il worm rinomina il file RUNDLL32.EXE in RUN32.EXE e quindi sovrascrive il file RUNDLL32.EXE originale con una copia di se stesso. Il worm imposta l’attributo nascosto sulle proprie copie. La routine del payload. A seconda della data e del tempo di sistema, con una probabilitÓ di 1 a 20 il worm cancella tutti i file sul drive dove e' installato Windows e quindi rimuove tutte le cartelle.  Ogni volta che viene eseguito, con una probabilita' di 1 su 50, il worm crea un file SirCam.sys nella cartella radice del drive corrente e vi scrive il seguente testo, cifrato nel codice del worm: [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]   [SirCam Version 1.0 Copyright ę 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]
Sembra che il worm scriva queste frasi in un ciclo continuo, con l’intento di esaurire lo spazio libero disponibile sul disco.
Altra cosa antipatica...
A causa di errore presente nel codice del worm, le routine del payload non vengono eseguite correttamente, rendendo il worm meno pericoloso di quello che doveva essere nelle intenzioni del suo autore.
Ad ogni modo, la prima routine (cancellazione di tutti i file nel drive di Windows) verrÓ eseguita nel caso in cui le copie del worm SIRC32.EXE, SCAM32.EXE e RUNDLL32.EXE vengano rinominate ed eseguite.
(Fonte: informazioni ed analisi a cura di Paolo Monti e Eugene Kaspersky di http://www.avp.it )

La regola di posta utilizzata per eliminare subito alla ricezione questi virus:
Ecco come ho fatto:
utilizzando Outlook Express, sono andato in [Strumenti-Regole] [Messaggi-Posta elettronica], poi su [Nuova]. Adesso nel campo 1 (Selezionare le condizioni della regola) ho settato "In cui il corpo del messaggio contiene parole specifiche"  ed ho inserito esattamente: Hi! How are you?  Le quali sono le parole che si trovano come testo standard nella mail che accompagna il virus. Aggiungete anche In cui la casella A contiene contatti e ci mettete il vostro indirizzo e-mail.
Dopo di che, nel campo 2, ho settato la casella Elimina il messaggio.
Per sicurezza se avete altre regole, spostate questa in alto (= cioe' Outlook Express fa in modo che sia la prima ad essere applicata).
Fatto questo, le mail con virus saranno buttate direttamente nel cestino.
Ricordatevi anche di "svuotare" il cestino, o cancellare la posta eliminata, almeno una volta al giorno.
E con questa abbiamo anche messo a tacere un altro noioso virus...
Anche sui siti dei maggiori produttori antivirus, Symantec (http://www.sarc.com), Sophos (http://www.sophos.com) e altri, sono disponibili tutte le informazioni necessarie a eliminare il virus e a prevenire l'infezione.
Speriamo di esservi stati di qualche utilitÓ, in caso contrario ci scusiamo per il disturbo.

Cordiali saluti,

ALICOM Swiss
Servizi e Prodotti per Internet
Internet Service Provider  www.alicom.net

------------------""""" *************** """"""-------------------

Siti utili e links consigliati:
http://ec2000.alicom.net - Virtual Shop Maker EC2000/2002
Per creare il vostro nuovo negozio e-commerce, gestibile da voi.  Non richiede conoscenze di programmazione.  (con diversi esempi di negozi virtuali giÓ attivi)   http://alicom.net
Per il vostro hosting o spazio sito, a tariffe vantaggiose (Cgi, Perl, php-MySql, Jserv).
Per la registrazione (mantainer) di domini internazionali ed europei.
Per lo sviluppo di siti professionali e problematiche particolari.
Connessioni e linee dedicate fino a 2MBit/sec.
Speciali condizioni per rivenditori ed operatori web.
http://GMSolvers.com (di prossima attivazione)
Per la realizzazione di Scripts e programmi professionali di ogni tipo.

----------------""""" *************** """"""-------------------

Leggete la vostra posta anche in vacanza:
http://alicom.net/posta
Funziona con ogni account anche di Provider diversi
basta sapere il vostro pop3 (mail.tin.it o altri)
Per impostare indirizzi e-mail con outlook
http://alicom.net/supporto/outlook
Passo-passo, con esempi grafici
Guida all'FTP (con download WS-ftp Light)
http://alicom.net/supporto/ws-ftp
Passo-passo, con esempi grafici
Guida a PHP e MySql + Telnet
http://alicom.net/php-mysql/index.php
a cura di Franco Abitante www.whiteready.com
Per controllare la disponibilitÓ o la proprietÓ di un dominio
http://alicom.net/domini
Inserite il vostro sito gratuitamente in 31 fra i maggiori motori di ricerca
http://www.upromote.com/ftools/freesubmit/
Portale turistico-commerciale di Benevento:
http://www.benevento.ws
Portale per i servizi universitari dell'universitÓ del Molise:
http://www.unicom99.net
Vendita di libri on line:
http://www.giorgiolieto.com
Elementi costruttivi e decorativi in pietra:
http://laneolitica.com
Musica:
http://www.gotthard.com
http://www.beatluv.com
Adulti-free (vietato l'accesso ai minorenni):
http://askformore.com
Servizi investigativi on line:
http://www.fasp.ch
http://www.aptel.net
Un sito diverso per un settore molto attivo:
http://www.funeralia.net
Test interattivi attitudinali per laureandi in medicina (sito in lingua francese):
http://concoursmedecineonline.com
WWF Svizzera italiana:
http://wwf-si.ch
Altro sui virus e curiositÓ varie:
http://punto-informatico.it/pi.asp?i=36924
http://punto-informatico.it/p.asp?i=36897
http://punto-informatico.it/p.asp?i=36914
http://punto-informatico.it/p.asp?i=36913
http://punto-informatico.it/uo.asp?i=1112
http://punto-informatico.it/p.asp?i=36912
http://punto-informatico.it/p.asp?i=36846
http://punto-informatico.it/uo.asp?i=1113
-------------------------------------

Per richieste, domande e consulenze inerenti il vostro sito Internet:

webmaster@alicom.ch

See the web site

banner.jpg (4474 bytes)

banq.gif (2462 bytes)

Visiita il nostro sito web - Pls visit our web site


back to home page

ę2001 S.Arnetoli, webmaster@canitalia.it
last update