SirCam, non si ferma l'invasione del virus

SirCam, non si ferma l'invasione del virus

Capace di azzerare alcuni file sui computer colpiti, il temibile worm ha attivato gli enti di sorveglianza in tutto il mondo. La sua diffusione potrebbe causare il rallentamento di alcuni backbone. Ecco cos'è e come difendersi
Capace di azzerare alcuni file sui computer colpiti, il temibile worm ha attivato gli enti di sorveglianza in tutto il mondo. La sua diffusione potrebbe causare il rallentamento di alcuni backbone. Ecco cos'è e come difendersi


Web – Ci ha messo pochi giorni il virus SirCam per finire in testa alle classifiche dei codicilli più temibili che girano per la rete. Ci ha messo pochi giorni perché la diffusione del virus nel corso del week-end ha superato ampiamente le previsioni. E l’allarme non è ancora rientrato.

Fino a venerdì mattina si riteneva che SirCam non avrebbe assunto il rango di un virus capace di colpire in tutto il cyberspazio. Anzi, fino a quel momento aveva tenuto banco “Code Red”, un virusino che nei giorni scorsi ha fatto rumore perché era pensato per tentare di scatenare attacchi distributed denial-of-service contro il sito della Casa Bianca, dopo aver infettato, pare, decine di migliaia di server internet.

Ma che SirCam fosse destinato a conquistare le prime pagine e colpire ben più del previsto lo si è capito nella mattinata di venerdì, quando Trend Micro in poche ore ha portato SirCam dal terzo al primo posto tra i virus più infettivi del momento e Symantec ha portato da 3 a 4 il livello di rischio che SirCam rappresenta. Ad un passo dal livello 5, considerato il massimo grado da Symantec.

Basta dare un’occhiata ai newsgroup e ai giornali telematici di mezzo mondo per capire che SirCam nelle ultime 72 ore ha colpito diffusamente in NordAmerica, in America Latina e in Europa. Con una accelerazione che induce a ritenere che debba ancora dare il meglio di sé in Asia e Oceania.

Sono numerosi i motivi di preoccupazione legati alla diffusione del virus. Uno di questi sta nelle dimensioni del file infetto che il virus allega alle email che invia sulla rete e con le quali si diffonde. Le dimensioni, infatti, variano a seconda dei file utilizzati da SirCam per diffondersi e possono raggiungere le dimensioni di centinaia di Kilobyte. Numeri che, moltiplicati per l’innumerevole quantità delle infezioni, ingolfano i network di connessione. C’è persino qualcuno secondo cui SirCam sarebbe responsabile dei rallentamenti riscontrati nei giorni scorsi persino sui backbone italiani (altri sostengono che il rallentamento sia dovuto a nuove “protezioni” anti-cracking in occasione del G8..). Ma si tratta di “sensazioni” che è difficile valutare: secondo gli esperti è ancora presto per trarre un bilancio della nuova epidemia e dei suoi effetti.

Altra ragione di preoccupazione, che ha mobilitato i centri di controllo e sicurezza di alcuni paesi, è data dalla possibilità del virus di re-infettare il computer sul quale si installa anche dopo la rimozione di tutti i file che sembrano in qualche modo “legati” a SirCam. “SirCam – ha affermato un esperto di SecurityPortal – archivia alcuni file nella directory Recycle (quella del “Cestino” di Windows, ndr), che non viene normalmente scansionata dai software antivirus. Anche se un computer viene aggiornato, con antivirus antiSirCam, potrebbe non scansionare la cartellina, e dunque non cancellare del tutto il virus dal sistema”.


SirCam non è un virus realizzato da qualche inesperto virus writer che ha voluto “giocare”. Si tratta di un codice complesso, sofisticato. Addirittura, Wired ha accusato le aziende antivirus di non aver capito il virus, di essere state confuse dal suo codice, che non lasciava trasparire facilmente gli scopi del virus e il suo modo di agire.

Le capacità del virus sono quelle tipiche di un worm, tutto teso alla sua moltiplicazione e diffusione sulla rete, e quelle di un virus “tradizionale”, un codicillo pensato per agire sul computer che riesce ad infettare.

E quello che il virus fa al computer rappresenta una ulteriore fonte di timore. In alcuni casi, infatti, SirCam si limita a riempire di testo la memoria libera del computer; in altri casi, invece, il virus cancella o azzera i file che trova residenti sul computer-vittima.

Altro elemento che può averne agevolato la diffusione è la capacità del virus di scansionare tutte le rubriche di Outlook o Windows a caccia di indirizzi email ma anche le cartelline, come quella dei “Temporary Internet Files”. Indirizzi a cui, evidentemente, SirCam provvede ad inviarsi, non prima di aver modificato l’identità del computer da cui si auto-invia, di fatto rendendo ancora più difficile capire da dove si propaga il virus, quali utenti ne siano colpiti e via dicendo.

A rendere il tutto più spiacevole c’è il fatto che quando il virus si auto-invia da un certo computer, si “attacca” a file già presenti su quel PC che spedisce come allegati dei messaggi di posta elettronica. Questo significa che testi o altri contenuti privati vengono di fatto spediti in giro per la rete (sebbene la loro apertura in mani meno che esperte può significare l’attivazione del virus).

Alcuni esperti ritengono che la grande diffusione di SirCam non finirà tanto presto. “Credo – ha affermato Alex Shipp dei MessageLabs, azienda specializzata – che andrà avanti almeno per tutta la settimana. Il fatto che si diffonda con diversi subject e diversi nomi di file lo aiuterà a diffondersi”.

Ma ecco cos’è il virus SirCam e come comportarsi per evitare di finire tra le sue vittime.


Roma – “W32.Sircam.Worm@mm” si sta diffondendo rapidamente via internet facendosi riconoscere perché i messaggi con cui invia l’allegato infetto sono più o meno sempre quelli e possono essere scritti sia in inglese che in spagnolo.

Il virus è senz’altro presente laddove nella directory del cestino di Windows si ritrovi il file SirC32.exe o che abbia il virus SCD1.DLL nella directory “system” di Windows o scam32.exe nella directory di Windows.

SirCam è in grado di scansionare eventuali reti a cui sia collegato il computer colpito. Ed è dunque possibile individuare il virus, su computer di un network interno eventualmente infettati, anche nei comandi modificati all’interno di rundll32.exe o autoexec.bat.

Se si attiva, dunque, SirCam si copia come SirC32.exe nella directory del Cestino e scam32.exe in quella di Windows, inserendo due chiavi di registro che, con la modifica ai file di sistema, consentono al worm di essere attivato quando si riavvia il computer o quando si attiva qualsiasi file.exe:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesDriver32=”SCam32.exe”
HKEY_CLASSES_ROOTexefileshellopencommand=””C:recycledSirC32.exe””%1″ %*”

Per archiviare i dati dell’infezione, SirCam sfrutta un’altra chiave di registro:
HKEY_LOCAL_MACHINESoftwareSirCam

Per diffondersi, SirCam sfrutta un proprio sistema di invio della posta (SMTP) che gli consente di auto-spedirsi a tutti gli indirizzi di posta che trova nella rubrica di Outlook e nell’address book di Windows nonché nei file della cartellina dei file temporanei internet in Windows.

Una volta attivato, il virus cerca nella directory Documenti del computer infetto i file che abbiano come estensione: DOC, GIF, JPG, JPEG, MPEG, MOV, MPG, PDF, PIF, PNG, PS, XLS e ZIP. Una volta individuati, il virus si “attacca” ad uno di questi documenti, aggiunge una seconda estensione al documento (es: “nomedocumento.doc.pif”) e piazza il file nella cartellina del Cestino di Windows. Sarà quel file, scelto a caso, ad essere utilizzato per il successivo re-invio delle email infette a tutti gli indirizzi individuati.

Come accennato, riconoscere le email contenenti il virus è fortunatamente piuttosto facile. Va detto infatti che il subject dell’email è casuale e dipende dal nome del file “scelto” dal virus: il subject è infatti il nome del file senza le estensioni. All’interno del messaggio, invece, un testo in inglese o spagnolo viene scelto in una breve lista di possibili testi con cui il virus riempie i messaggi in partenza. Questi possono essere:


In inglese:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send you
This is the file with the information that you ask for

In spagnolo:
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste

Prima di queste frasi, la versione inglese piazza anche la frase: “Hi! How are you?”, quella spagnola la frase: “Hola como estas?”. L’ultima frase del messaggio, invece, è “See you later. Thanks” nella versione inglese e “Nos vemos pronto, gracias” in quella spagnola.

Le estensioni aggiuntive poste dal virus ai file che ha infettato possono essere.bat,.com,.exe,.lnk o.pif. Le info sfruttate dal virus per diffondersi su altri sistemi vengono archiviate nel file SCD1.dll nella cartellina di sistema di Windows.

La porzione squisitamente “virus” di SirCam decide di cancellare tutti i file e le directory presenti sull’hard disk di un computer qualora questo utilizzi come formato di datazione quello europeo (cioé: giorno, mese, anno). In questo caso c’è una possibilità su 20 che la distruzione avvenga il giorno 16 ottobre. Inoltre ha una probabilità su 33 di riempire lo spazio libero sull’hard disk aggiungendo testo nel file c:recycledsircam.siy ad ogni avvio del PC, fino alla saturazione del disco.

Si dovesse essere colpiti da questo virus, l’unica è scansionare il computer con un antivirus aggiornato nelle scorse ore. Quasi tutte le case antivirus hanno annunciato di aver messo a disposizione gli aggiornamenti capaci di debellare SirCam.

In ogni caso si deve aver cura di verificare che ogni riferimento a SirCam sia sparito anche nella directory “recycled” di Windows, una directory che fino ad oggi è stata ignorata da molte engine antivirus. F-Secure ha messo a punto un sistemino ( qui per scaricarlo) che consente di disabilitare i setting di registro su.exe, una modalità che consente di rimuovere SirCam dal sistema senza rischiare instabilità.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
23 lug 2001
Link copiato negli appunti