Las primeras muestras de SirCam fueron descubiertas ayer 17 de julio, si bien en las últimas horas es cuando se está detectando una distribución masiva que lo sitúan de momento en una alerta de nivel medio. Se espera que la propagación remita tras las pertinentes actualizaciones de los antivirus y la información proporcionada sobre su modo de presentación y actuación.
Este gusano está consiguiendo una especial relevancia en países de habla hispana, sin duda gracias a la utilización de frases en español, además del inglés, para formar los mensajes en los cuales se adjunta.
El e-mail donde se autoenvía lo compone de la siguiente forma:
Asunto: [nombre del archivo adjunto sin extensión]
Cuerpo:
Primera línea: "Hola como estas ?"
Línea central: [alguna de las siguientes frases al azar]
"Te mando este archivo para que me des tu punto de vista"
"Espero me puedas ayudar con el archivo que te mando"
"Espero te guste este archivo que te mando"
"Este es el archivo con la informacion que me pediste"
Última línea: "Nos vemos pronto, gracias."
Adjunto: [archivo con doble extensión]
La primera extensión del archivo que se adjunta puede ser .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, o .ZIP, mientras que la última y realmente importante puede ser .BAT, .COM, .EXE, .LNK o .PIF. En la configuración por defecto de Windows la segunda extensión no se visualizaría, lo que sin duda puede lograr engañar a los usuarios haciéndoles creer que se trata de un documento inofensivo.
Las cadenas de texto de la versión en ingles son las siguientes:
Primera línea: "Hi! How are you?"
Central:
"I send you this file in order to have your advice"
"I hope you can help me with this file that I send"
"I hope you like the file that I send you"
"This is the file with the information that you ask for"
Última línea: "See you later. Thanks"
Cuando el gusano se ejecuta en un sistema se sitúa en la Papelera de reciclaje de Windows copiándose cómo C:RECYCLEDSirC32.exe. Esta carpeta suele permanecer oculta en Windows, además algunos antivirus la tienen excluida de sus análisis según la configuración por defecto.
El gusano también añade una entrada al registro de Windows para asegurarse que SirCam se carga en memoria cada vez que un archivo .EXE es ejecutado:
HKCRexefileshellopencommand
Default="C: ecycledSirC32.exe" "%1" %*
Otra copia renombrada como SCam32.exe la sitúa en la carpeta WindowsSystem, así como una nueva entrada en el registro para asegurar su activación cada vez que se inicia el sistema:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Driver32=C:WINDOWSSYSTEMSCam32.exe
A continuación SirCam crea una lista con los nombres de los archivos que encuentra en la carpeta Mis Documentos y cuyas extensiones sean .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, o .ZIP. El listado lo almacena en el archivo SCD.DLL en WindowsSystem. De forma similar recoge en la misma carpeta, bajo el nombre de archivo SCD1.DLL, una lista con todas las direcciones de correo electrónico que encuentra en la libreta de direcciones de Windows y en la carpeta de archivos temporales de Internet. El segundo y tercer carácter del nombre de los archivos .DLL donde almacena las listas puede variar al azar.
El gusano contiene su propia rutina SMTP para autoenviarse a las direcciones que tiene almacenadas en la lista SCD1.DLL. Para componer el archivo infectado a enviar el gusano se copia al principio de alguno de los archivos listados en SCD.DLL añadiendo al final la segunda extensión. De esta forma consigue distintas apariencias según va infectando sistemas.
Opina sobre esta noticia: http://www.hispasec.com/unaaldiacom.asp?id=997
Más información:
NAi. W32/SirCam@MM:
http://vil.nai.com/vil/dispvirus.asp?virus_k=99141
Panda Software. W32/SirCam:
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Sircam
Symantec. W32.Sircam.Worm@mm:
http://www.sarc.com/avcenter/venc/data/w32.sircam.worm@mm.html
Sophos. W32/Sircam-A:
http://www.sophos.com/virusinfo/analyses/w32sircama.html
F-Secure. Sircam:
http://www.f-secure.com/v-descs/sircam.shtml
Bernardo Quintero
bernardo@hispasec.com
Rerproducido de HISPASEC
Este gusano está consiguiendo una especial relevancia en países de habla hispana, sin duda gracias a la utilización de frases en español, además del inglés, para formar los mensajes en los cuales se adjunta.
El e-mail donde se autoenvía lo compone de la siguiente forma:
Asunto: [nombre del archivo adjunto sin extensión]
Cuerpo:
Primera línea: "Hola como estas ?"
Línea central: [alguna de las siguientes frases al azar]
"Te mando este archivo para que me des tu punto de vista"
"Espero me puedas ayudar con el archivo que te mando"
"Espero te guste este archivo que te mando"
"Este es el archivo con la informacion que me pediste"
Última línea: "Nos vemos pronto, gracias."
Adjunto: [archivo con doble extensión]
La primera extensión del archivo que se adjunta puede ser .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, o .ZIP, mientras que la última y realmente importante puede ser .BAT, .COM, .EXE, .LNK o .PIF. En la configuración por defecto de Windows la segunda extensión no se visualizaría, lo que sin duda puede lograr engañar a los usuarios haciéndoles creer que se trata de un documento inofensivo.
Las cadenas de texto de la versión en ingles son las siguientes:
Primera línea: "Hi! How are you?"
Central:
"I send you this file in order to have your advice"
"I hope you can help me with this file that I send"
"I hope you like the file that I send you"
"This is the file with the information that you ask for"
Última línea: "See you later. Thanks"
Cuando el gusano se ejecuta en un sistema se sitúa en la Papelera de reciclaje de Windows copiándose cómo C:RECYCLEDSirC32.exe. Esta carpeta suele permanecer oculta en Windows, además algunos antivirus la tienen excluida de sus análisis según la configuración por defecto.
El gusano también añade una entrada al registro de Windows para asegurarse que SirCam se carga en memoria cada vez que un archivo .EXE es ejecutado:
HKCRexefileshellopencommand
Default="C: ecycledSirC32.exe" "%1" %*
Otra copia renombrada como SCam32.exe la sitúa en la carpeta WindowsSystem, así como una nueva entrada en el registro para asegurar su activación cada vez que se inicia el sistema:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Driver32=C:WINDOWSSYSTEMSCam32.exe
A continuación SirCam crea una lista con los nombres de los archivos que encuentra en la carpeta Mis Documentos y cuyas extensiones sean .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, o .ZIP. El listado lo almacena en el archivo SCD.DLL en WindowsSystem. De forma similar recoge en la misma carpeta, bajo el nombre de archivo SCD1.DLL, una lista con todas las direcciones de correo electrónico que encuentra en la libreta de direcciones de Windows y en la carpeta de archivos temporales de Internet. El segundo y tercer carácter del nombre de los archivos .DLL donde almacena las listas puede variar al azar.
El gusano contiene su propia rutina SMTP para autoenviarse a las direcciones que tiene almacenadas en la lista SCD1.DLL. Para componer el archivo infectado a enviar el gusano se copia al principio de alguno de los archivos listados en SCD.DLL añadiendo al final la segunda extensión. De esta forma consigue distintas apariencias según va infectando sistemas.
Opina sobre esta noticia: http://www.hispasec.com/unaaldiacom.asp?id=997
Más información:
NAi. W32/SirCam@MM:
http://vil.nai.com/vil/dispvirus.asp?virus_k=99141
Panda Software. W32/SirCam:
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Sircam
Symantec. W32.Sircam.Worm@mm:
http://www.sarc.com/avcenter/venc/data/w32.sircam.worm@mm.html
Sophos. W32/Sircam-A:
http://www.sophos.com/virusinfo/analyses/w32sircama.html
F-Secure. Sircam:
http://www.f-secure.com/v-descs/sircam.shtml
Bernardo Quintero
bernardo@hispasec.com
Rerproducido de HISPASEC