Tydzień wirusa

Z serii „Tydzień wirusa”, prezentujemy kolejną porcję nowych robaczków internetowych które zagościły w naszej internetowej sieci. Na pierwszy rzut taśmy idzie Sircam który jest rozbudowanym robakiem internetowym. Naszym następym gościem jest Fage – wirus plików wsadowych i na koniec Wirus Yang – który działa tylko w Windows XP.

Sircam to robak internetowy który rozsyła się pocztą elektroniczną oraz zawiera procedury destrukcyjne. Zwykle pojawia się w komputerze ofiary jako załącznik do automatycznie generowanego listu elektronicznego, napisanego po angielsku lub hiszpańsku.

Temat: [nazwa pliku załącznika]
Treść: Hi! How are you? lub Hola como estas ? [losowo wybrane zdanie]
See you later. Thanks lub Nos vemos pronto, gracias.
Załącznik: SirC32.exe lub Tech Specs and Financials.doc.com

Gdy nastąpi uruchomienie wirusa, tworzy on sobie własne kopie w katalogu Kosza oraz w katalogu plików tymczasowym. Robak tworzy także dodatkowe swoje kopie w plikach c:\recycled\sirc32.exe oraz scam32.exe w katalogu systemu Windows, a także modyfikuje Rejestr w taki sposób, aby plik scam32.exe był uruchamiany przy każdym starcie systemu Windows. Rejestr zawiera także klucz wirusa który jest przez niego wykorzystywany do masowej wysyłki pocztą elektroniczną:
HKEY_LOCAL_MACHINE\Software\SirCam, oraz zmodyfikowaną wartość dotyczącą obsługi plików z rozszerzeniem .exe, czego efektem jest uruchamianie robaka wraz każdym plikiem tego typu.

Mało tego. Wirus Sircam tworzy także na dysku plik c:\recycled\sircam.sys, w którym zapisuje nieprzerwanie tekst [SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX], aż do momentu zapełnienia całego wolnego miejsca na dysku. Ponadto 16 października może on uruchomić procedurę usuwania wszystkich plików z dysku C:

Do rozsyłania swojej kopii, robak używa własnego mechanizmu który posiada obsługę SMTP, natomiast adresy pobiera on z plików książek adresowych i bufora przeglądarki internetowej. Do wysyłanych wiadomości wirus dołącza także znalezione na Pulpicie pliki .doc, .xls, .zip, i .exe, do których dołącza własny kod.

Fage jest wirusem plików wsadowych, który tworzy z siebie plik wykonywalny. Ze względu na błędy w kodzie, jego działanie powoduje zawieszenie się komputera.

W momencie uruchomienia wirusa wyłącza on klawiaturę, aby uniemożliwić przerwanie jego pracy przez użytkownika. Następnie wirus tworzy w bieżącym katalogu plik o nazwie $.com. Kolejny etap jego działania to wyszukanie wszystkich plików wsadowych, które dostępne są przez ścieżkę systemową i próbuje wykorzystać je do uruchomienia programu $.com. Efektem tego jest zawieszenie się komputera.

Yang to wirus który został napisany w języku Visual Basic Script. Jego działanie polega na rozsyłaniu się pocztą elektroniczną oraz nadpisywaniu plików HTML. Szkodnik działa jedynie w systemie Windows XP, tak więc operatorzy systemów z serii Windows9x/ME/2000/NT mogą spać spokojnie.

Wirus pojawia się jako kod ukryty w treści listu elektronicznego zapisanego w formacie HTML:

Temat: Fw: Free Porno XXX Sites!!
Treść: There’s some great links at […].
P.S. Don’t tell your BOSS! 🙂

Wirus ten uaktywni się jedynie wtedy, gdy na komputerze ofiary jest zainstalowany system operacyjny Windows XP lub moduł Microsoft Outlook 2000 View Control.

Po uruchomieniu Yang rozpoczyna procedurę masowej dystrybucji – wysyła listy elektroniczne ze swoimi kopiami do wszystkich adresatów z książki adresowej systemu Windows. Następnie wyświetlane jest okienko dialogowe z komunikatem:

You’ve been slammed by VBS/YangMsg@mm, a wonderful new work by Yang & ESOng. Office XP bites!! Get used to it!

VBS/YangMsg@mm is Copyright (c) Yang&ESOng, 2001 Thank you Microsoft / Bill Gatez! What would this world be without you…