Roma – Nella sua ormai celebre classifica mensile , la softwarehouse antivirus britannica, Sophos, toglie ogni dubbio: SirCam si continua a diffondere e continua a far danni, in misura molto superiore rispetto a qualsiasi altro virus.
“Il worm SirCam – spiegano gli esperti dell’azienda – è stato in cima alla lista per due mesi. Il worm Magistr, che era il più diffuso negli ultimi sei mesi, continua a farsi sentire, al secondo posto”. Secondo Graham Cluley, consulente Sophos “entrambi i worm utilizzano un trucco simile, nessuno dei due virus utilizza infatti un nome di file standard o un subject riconoscibile, così è difficile per gli utenti sapere a cosa devono stare attenti. Chi clicca senza pensarci due volte può avere pesanti danni. L’unica soluzione è mantenere aggiornato il software antivirus e non aprire allegati inattesi”.
SirCam, worm di cui Punto Informatico si è occupato diffusamente, è uno dei pochissimi la cui “forza epidemica” ha seguito una parabola espansiva. Nella maggioranza dei casi, infatti, la diffusione dei worm più “caldi” si placa dopo pochi giorni. Le caratteristiche di SirCam, invece, hanno evidentemente dato vita ad una epidemia con pochi precedenti.
Come si può vedere dalla tabella messa a disposizione da Sophos, SirCam è stato segnalato ad agosto nel 48,9 per cento dei casi contro il “solo” 13 per cento di Magistr, virus che in Italia non risulta particolarmente diffuso. Nel Bel Paese, infatti, a colpire da molti mesi quasi indisturbato è Hybris, worm che nella classifica di Sophos si “piazza” al quarto posto in termini di diffusione.
Ecco come funziona SirCam. Roma – “W32.Sircam.Worm@mm” si sta diffondendo rapidamente via internet facendosi riconoscere perché i messaggi con cui invia l’allegato infetto sono più o meno sempre quelli e possono essere scritti sia in inglese che in spagnolo.
Il virus è senz’altro presente laddove nella directory del cestino di Windows si ritrovi il file SirC32.exe o che abbia il virus SCD1.DLL nella directory “system” di Windows o scam32.exe nella directory di Windows.
SirCam è in grado di scansionare eventuali reti a cui sia collegato il computer colpito. Ed è dunque possibile individuare il virus, su computer di un network interno eventualmente infettati, anche nei comandi modificati all’interno di rundll32.exe o autoexec.bat.
Se si attiva, dunque, SirCam si copia come SirC32.exe nella directory del Cestino e scam32.exe in quella di Windows, inserendo due chiavi di registro che, con la modifica ai file di sistema, consentono al worm di essere attivato quando si riavvia il computer o quando si attiva qualsiasi file.exe:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Driver32=”\SCam32.exe”
HKEY_CLASSES_ROOT\exefile\shell\open\command=””C:\recycled\SirC32.exe””%1″ %*”
Per archiviare i dati dell’infezione, SirCam sfrutta un’altra chiave di registro:
HKEY_LOCAL_MACHINE\Software\SirCam
Per diffondersi, SirCam sfrutta un proprio sistema di invio della posta (SMTP) che gli consente di auto-spedirsi a tutti gli indirizzi di posta che trova nella rubrica di Outlook e nell’address book di Windows nonché nei file della cartellina dei file temporanei internet in Windows.
Una volta attivato, il virus cerca nella directory Documenti del computer infetto i file che abbiano come estensione: DOC, GIF, JPG, JPEG, MPEG, MOV, MPG, PDF, PIF, PNG, PS, XLS e ZIP. Una volta individuati, il virus si “attacca” ad uno di questi documenti, aggiunge una seconda estensione al documento (es: “nomedocumento.doc.pif”) e piazza il file nella cartellina del Cestino di Windows. Sarà quel file, scelto a caso, ad essere utilizzato per il successivo re-invio delle email infette a tutti gli indirizzi individuati.
Come accennato, riconoscere le email contenenti il virus è fortunatamente piuttosto facile. Va detto infatti che il subject dell’email è casuale e dipende dal nome del file “scelto” dal virus: il subject è infatti il nome del file senza le estensioni. All’interno del messaggio, invece, un testo in inglese o spagnolo viene scelto in una breve lista di possibili testi con cui il virus riempie i messaggi in partenza. Questi possono essere: In inglese:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send you
This is the file with the information that you ask for
In spagnolo:
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste
Prima di queste frasi, la versione inglese piazza anche la frase: “Hi! How are you?”, quella spagnola la frase: “Hola como estas?”. L’ultima frase del messaggio, invece, è “See you later. Thanks” nella versione inglese e “Nos vemos pronto, gracias” in quella spagnola.
Le estensioni aggiuntive poste dal virus ai file che ha infettato possono essere.bat,.com,.exe,.lnk o.pif. Le info sfruttate dal virus per diffondersi su altri sistemi vengono archiviate nel file SCD1.dll nella cartellina di sistema di Windows.
La porzione squisitamente “virus” di SirCam decide di cancellare tutti i file e le directory presenti sull’hard disk di un computer qualora questo utilizzi come formato di datazione quello europeo (cioé: giorno, mese, anno). In questo caso c’è una possibilità su 20 che la distruzione avvenga il giorno 16 ottobre. Inoltre ha una probabilità su 33 di riempire lo spazio libero sull’hard disk aggiungendo testo nel file c:\recycled\sircam.siy ad ogni avvio del PC, fino alla saturazione del disco.
Se si dovesse essere colpiti da questo virus, l’unica è scansionare il computer con un antivirus aggiornato nelle scorse ore. Quasi tutte le case antivirus hanno annunciato di aver messo a disposizione gli aggiornamenti capaci di debellare SirCam.
In ogni caso, si deve aver cura di verificare che ogni riferimento a SirCam sia sparito anche nella directory “recycled” di Windows, una directory che fino ad oggi è stata ignorata da molte engine antivirus. F-Secure ha messo a punto un sistemino ( qui per scaricarlo) che consente di disabilitare i setting di registro su.exe, una modalità che consente di rimuovere SirCam dal sistema senza rischiare instabilità.