наверх
2204

Вирус SirCam добрался до ФБР и украл секретные документы

27 июля 2001

В среду представитель Федерального бюро расследований США по связям с общественностью признала, что подразделению ФБР по борьбе с компьютерными преступлениями (National Infrastructure Protection Center - NIPC) не удалось противостоять эпидемии вируса SirCam. Во вторник один из компьютеров был случайно заражен, после чего вирус стал распространяться по всей системе.

Как сообщает агентство France-Presse, другой представитель ФБР заявил, что самая последняя версия коммерческой антивирусной программы, установленной на компьютерах подразделения, не смогла отследить процесс внедрения вируса в систему.

Сразу после обнаружения сотрудники NIPC начали вручную устранять последствия пребывания вируса в системе, однако несколько электронных писем с вирусом с компьютеров ФБР все же ушло. ФБР отказалось, однако, сообщить журналистам, сколько именно файлов было украдено вирусом с компьютеров ФБР и, таким образом, ушло в необъятные просторы Сети.

Одной из самых неприятных особенностей вируса SirCam, эпидемия которого приобретает все более глобальные масштабы, является способность рассылать себя по Сети, прикрепляя свой код к случайным, вполне безобидным файлам, найденным на уже зараженном компьютере. Таким образом, как уже неоднократно предупреждал "Нетоскоп", у подобного способа маскировки и распространения появляется еще один побочный отрицательный эффект - возможность утечки с зараженного компьютера секретной информации, содержащейся в украденных файлах определенных форматов.

Вирус распространяется по электронной почте в виде прикрепленного файла со случайным именем и двойным расширением. Оба расширения выбираются вирусом случайно из набора: для первого расширения - .doc., .xls., .zip., ,exe., для второго расширения - .pif, .lnk, .bat, .com. Таким образом, прикрепленные файлы могут выглядеть по-разному. Например, так: feb01.xls.pif или normas.doc.bat.

При этом feb01.xls, normas.doc или любое другое "имя_файла.расширение" являются именами реальных файлов, украденных вирусом с предыдущего зараженного компьютера. "Захваченный" файл превращается в "приманку", маскирующую действия вредоносной программы.

Напоминаем, что, несмотря на свою весьма изощренную схему внедрения в систему, основанную на прикреплении вредоносного кода к случайным файлам, вирус имеет, по крайней мере, один постоянный признак: в теле письма, содержащего вирус в виде прикрепленного файла, обязательно есть постоянные первая и последняя фразы на английском или испанском: "Hi! How are you?" или "Hola como estas?" ("Привет, как дела?") и "See you later. Thanks" или "Nos vemos pronto, gracias" ("Спасибо, увидимся").

Как сообщает "Лаборатория Касперского", вирус написан на языке Delphi и живет в среде Win32. Таким образом, из заявления ФБР можно сделать по крайней мере один вывод: "Компьютеры подразделения ФБР по борьбе с кибер-преступлениями работают под управлением ОС Windows/32".

Компания Symantec оценила опасность вируса SirCam в 4 бала по пятибалльной шкале. Пока он не нанес серьезного ущерба, однако, на кое-какие деструктивные действия он все же способен: в зависимости от текущей даты и времени, вирус с вероятностью 5 процентов удаляет все файлы и поддиректории в директории Windows (по другим данным, таймер "удаления" настроен на конкретное число – 16 октября).

С вероятностью 2 процента при каждой загрузке компьютера червь создает файл SirCam.Sys в корневом каталоге текущего диска и записывает в него текст, из которого можно понять, что червь создан в Мексике. Каждая такая запись отнимает все больше и больше места. Кроме того, вирус прописывает себя в системном реестре Windows в секции автоматического запуска, а также ищет доступные для записи локальные диски и копирует себя на них, вызывая заражение всей локальной сети.

Бесплатную утилиту "Лаборатории Касперского" для выявления и удаления вируса SirCam можно cкачать здесь.
Вернуться в ленту