Alerta Viral 01-14
SIRCAM: LA CLASE DEL 2001
Nombre: W95/Sircam.worm@mm
Alias: Sircam, I-Worm.Sircam, W32.Sircam,
W32/SircCam, W32.Sircam.Worm@mm, Backdoor.SirCam
Tipo: Gusano
DESCRIPCION:
De un tiempo a la fecha se ha vuelto costumbre que cada año aparezca, entre miles de programas maliciosos, uno que destaca sobre sus símiles. Así han sobresalido el Chernobyl (CIH), el Love Letter, el MTX y el Magistr. En el tiempo transcurrido del año 2001, ningún virus o programa maligno ha desquiciado los servidores de correo en la forma masiva que el Sircam ha alcanzado. Al momento de escribir esta nota, aun se estaban investigando y descubriendo características del Sircam cuyo número y variedad no tienen precedente en la historia de los programas maliciosos.
Sircam no es, hasta donde se sabe, un virus. No se han encontrado propiedades infecciosas que contaminen otros programas o datos del usuario, pero tiene múltiples recursos para propagarse, para defenderse y para provocar daños, tanto por accidente como intencionales.
El gusano llega inicialmente en un archivo anexo a un mensaje de correo electrónico que, al ejecutarse, instala el programa intruso en distintas formas para asegurar su permanencia y propagación. Aunque el contenido del mensaje es en cierto modo aleatorio, mantiene constantes las líneas incial y final:
Línea inicial
– Hola como estas ?
Línea
final – Nos vemos pronto, gracias
Entre las líneas anteriores puede aparecer cualquiera de las siguientes expresiones:
Te mando este
archivo para que me des tu punto de vista
Espero me puedas
ayudar con el archivo que te mando
Espero te guste
este archivo que te mando
Este es el archivo
con la informacion que me pediste
Si el mensaje viene en inglés, entonces las líneas anteriores son:
Línea inicial
– Hi! How are you?
Línea
final – See you later. Thanks
Lineas intermedias posibles:
I send you this
file in order to have your advice
I hope you can
help me with this file that I send
I hope you like
the file that I send you
This is the file
with the information that you ask for
El archivo anexo puede venir con distintos nombres que incluye en el tema del mensaje y trae extensiones ejecutables (com, exe, pif) que no se ven, lo que es particularmente peligroso cuando los usuarios configuran su Windows para ocultar las extensiones registradas. Desafortunadamente esa es la configuración por defecto, de modo que si el archivo tiene el nombre 'loquesea.doc.pif' el usuario solo verá 'loquesea.doc' y lo ejecutará pensando que es un documento y no el programa que realmente es. El archivo anexo se copia en el directorio de la papelera de reciclaje (c:\recycled) como sirc32.exe y en \windows\system como scam32.exe. Pueden quedar otras copias en directorios temporales con el nombre original del anexo.
Para asegurar su ejecución cada vez que se corra cualquier archivo de tipo EXE, se altera la llave siguiente en el registry, con el valor que se indica:
HKCR\exefile\shell\open\command
C:\recycled\sirc32.exe
"%1" %*"
Y para asegurar que se corra en cada arranque, se crea la siguiente llave:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Driver32=%System%\scam32.exe
Se crean otras llaves que tienen propósitos informativos, pero no ejecutables.
Al igual que otros troyanos y virus contemporáneos, el Sircam puede detectar discos vecinos en la red local y copiarse en las papeleras de reciclaje, así como reemplazar algunos archivos de Windows con copias del Sircam renombradas. También altera el archivo autoexec.bat de los discos vecinos para forzar la ejecución en los discos remotos.
El Sircam cuenta con su propio despachador de correo (SMTP) que le permite disparar mensajes incluso si no hay un programa de correo instalado en el sistema y, al contrario de otros gusanos, no solo usa la libreta de direcciones del usuario, sino que puede obtener direcciones de los cachés (memorias temporales) de otras aplicaciones instaladas en el sistema; el resultado es la saturación y rápido colapso de los servidores de correo corporativos.
Se han detectado rutinas de ataque: puede crear un archivo llamado sircam.sys en el directorio c:\recycled; ese archivo se extiende hasta llenar el disco con algunas cadenas de texto que hacen referencia al origen del gusano (Cuitzeo, Mich. México). El 16 de octubre de cada año borra todo el contenido del disco C:. También puede forzar la reinstalación de Windows si se borran los archivos del gusano sin antes borrar la instalación del registry. La buena noticia es que después de 8,000 ejecuciones el gusano cesa su acción (si se llega, por supuesto, hasta esa cuenta con el disco funcionando).
DESCONTAMINACION
F-PROT/CSAV puede detectar y eliminar los archivos que contienen el Sircam, pero lo importante es que deben eliminarse las llaves del registry ANTES de borrar los archivos maliciosos, de otro modo se requerirá la ayuda de un experto para restaurar el sistema a su estado normal. Redicom tiene disponible para usuarios registrados la herramienta SIRCAFIX3.EXE (versión actualizada al día 24 de julio) para corregir las llaves críticas, pero solo es útil si no se han borrado aun los archivos del gusano. El archivo es autoexpandible e incluye documentación para su uso.
Descontaminación paso por paso
PREVENCION
Command AntiVirus
versión 4.61.5 o posterior puede detectar, interceptar y descontaminar
el Sircam. Requiere definiciones de julio 18 del 2001 o posteriores.
__________
Fuente: Ingeniería y
Tecnología Avanzada, SA de CV. Datos recabados por el Departamento
de Soporte de ITASA con base en investigación documental y experimental.
Reservados todos los derechos ® 2001.