Přiznávám, že tento článek má více než zpravodajský charakter sebeobranný. Nebývá zvykem psát články o počítačových virech několik dnů po jejich objevení. Na druhou stranu je ovšem velmi neobvyklé, když největší záplava tohoto viru nastává až týden poté, co byl poprvé spatřen v emailových schránkách (u většiny virů přichází „špička“ během prvních 24 hodin). Zdá se, že sami antiviroví experti, kteří nás ještě v pondělí uklidňovali, že W32/SirCam@mm – či jeho nejrůznější mutace – patří na žebříčku společenské nebezpečnosti kamsi do oblasti šedivého průměru, nepředpokládali, že se virtuální nákaza během úterka vyšvihle na první místo v žebříčku nejčastěji se vyskytujících počítačových virů. Skutečným důvodem psaní tohoto článku je skutečnost, že jsem během včerejšího odpoledne smazal 104 jeho exemplářů.
---
Zpráva s virem přichází v jedné z následujících čtyř variant,
Hi! How are you?
I send you this file in order to your advice
I hope you can help me with this file that I send
I hope you like the file that I send
This is the file with the information that you ask for
See you later. Thanks
případně ve španělštině.
Hola como estas?
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste
Nos vemos pronto gracias.
---
Po spuštění se do adresáře SYSTEM a adresáře RECYCLED (který řada antivirových programů nechává bez povšimnutí) zkopíruje soubor jménem SCam32.EXE a zanese o sobě informace do systémového registru. Na rozdíl od běžných virů ovšem není úspěch W32/SirCam@mm omezen pouze na programy Microsoft Outlook, neb obsahuje vlastní SMTP a rovněž se nezaměřuje jen na váš adresář. Seznam emailových adres pro svou distribuci vytváří prohledáním vašeho disku na soubory *.WAB (Windows Adress Book) a současně vykradením všech souborů v cache prohlížeče Internet Explorer. Na zmíněné adresy se následně odešle náhodně vybraný soubor ze složky My Documents (výčet formátů zde), čímž se vytvoří zdání, že adresátovi zasíláte nějakou část své práce – virus bude samořejmě cestovat také.
Nemá pravdu SecurityPortal, když píše, že: „No direct malicious payloads included in this malware,“ protože W32/SirCam@mm si v okamžiku zabydlení se na vašem pevném disku „hodí kostkou“ (rozuměj vygeneruje náhodné číslo), podle kterého vám může nechat přetéci pevný disk nebo kompletně smazat jeho obsah. V prvním případě je šance 1 ku 33, že se v adresáři RECYCLED vytvoří soubor Syrcam.sys, který je postupně zaplňován textem: [SirCam Version 1.0 Copyright – 2000 2rP Made in/Hecho en – Cuitzeo, Michoacan Mexico]. V druhém případě je šance 1 ku 20, že vám program 16. října smaže veškerý obsah pevného disku, což je ovšem operace omezená na operační systémy s evropským datovým formátem (den-měsíc-rok). Virus mimo jiné prozkoumává také všechny dostupné síťové prostředky a pokouší se zavirovat i další připojené počítače.
W32/SirCam@mm samozřejmě není první sofistikovaný počítačový virus – vzpomeňme kupříkladu na W32.Hybris (spatřený v říjnu loňského roku a známý též pod označením Seven Dwarfs), který sám sebe updatoval stahováním krátkých kousků počítačového kódu, je to jednoduše pouze další krok v evoluční řadě. Rozumně uvažující člověk si navíc musí položit otázku, jak je možné, že se podobné viry stále s úspěchem šíří? VBS.LoveLetter byl první, VBS/STT-A (Anna Kournikovová) měl „erotický podtext“, ovšem co vede k šíření W32/SirCam@mm, jehož anglická mutace ukazuje, že jeho autor byl možná dobrý programátor, ale nikoli lingvista (viz výše) asi zůstane navždy záhadou (stejně jako šíření v neanglicky a nešpanělsky mluvících zemích). S lidskou blbostí se zkrátka dá počítat v každém případě.
Servisní poznámka:
Podrobné technické podrobnosti o W32/SirCam@mm naleznete zde, utilitu pro jeho odstranění poté zde.
ČLÁNKY DO MAILU