H+BEDV Datentechnik GmbH

Homepage
Produkte

News

Virenkunde
Downloads
Support
Kontakt
 
English

Copyright 1998-2000
webmaster@antivir.de
Virenbeschreibung

av_shad.gif (1951 Byte)
 

Worm/W32.Sircam

SirCam ist ein Wurm und Win32 Virus mit einer Größe von ca. 150 Kbytes. Wird dieser ausgeführt, so erstellt er folgende Dateien:

‘C:\Recyled\SirC32.exe’
‘C:\Recyled\LoveJoy_.com’
‘C:\Windows\System\Scam32.exe’
‘C:\Windows\Temp\LoveJoy_.com’

Die Datei SirC32.exe wird in die Registry Shell - Kommando für EXE Dateien eingetragen, wobei bei jedem Start einer EXE Datei sich der Wurm erneut ausführt. Hierzu nutzt er folgenden Eintrag in der Registry:

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"C:\\recycled\\SirC32.exe\" \"%1\" %*"

Die Scam32.exe wird in die Registry als “Treiber“ eingetragen, die bei jedem Systemstart aufgerufen wird:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"Driver32"="C:\\WINDOWS\\SYSTEM\\SCam32.exe"

SirCam kann sich auch in die Autoexec.bat mit folgenden Befehl eintragen:

@win \recycled\SirC32.exe

Der Wurm legt noch einen dritten Eintrag in der Registry an:

[HKEY_LOCAL_MACHINE\Software\SirCam]

Sollte die Datei Scam32.exe oder SirC32.exe mit der Dateiendung .DOC.COM versehen werden, löscht der Wurm beim Ausführen sämtliche Dateien, die auf dem Laufwerk C: gespeichert worden sind.

 

SirCam im Netzwerk

Ist eine NT Workstation mit dem SirCam infiziert, kann der Wurm mit Hilfe von gemappten Laufwerken andere Workstations (Windows9x/NT) befallen. Erfolgt ein Schreibzugriff auf eines dieser Laufwerke, schaut der Wurm nach folgenden Dateien bzw. Verzeichnissen:

 \Recycled
 \Windows
 \Windows\Run32.exe
 \Windows\Rundll32.exe

Wird eines davon gefunden, kopiert sich der Wurm nach C:\Recycled\SirC32.exe und erstellt einen Eintrag in die Autoexec.bat, mit dem er beim Systemstart geladen wird. Weiterhin wird die Datei RUNDLL32.EXE zur RUN32.EXE umbenannt und eine neue RUNDLL32.EXE erstellt, die den Viruscode enthält.

Zum Versenden benutzt der Wurm seine eigene SMTP-Engine und verschickt sich selbst als ein ausführbares Programm. Die dazugehörigen Emailadressen findet er im Windows-Adressbuch und in Dateien, die mit folgenden Dateinamen beginnen bzw. enden: SHO*, GET*, HOT*, *.HTM, *WAB und einige mehr. Diese Emailadressen werden als DLL Datei getarnt gespeichert, die sich im System–Verzeichnis von Windows befindet. Der Name der Datei ist meistens SCD1.DLL, wobei sich der zweite und dritte Buchstabe beliebig ändern kann.

Das Attachment der infizierten Email hat eine doppelte Dateierweiterung, d.h.

 Dateiname.ext1.ext2

Die erste Dateierweiterung (ext1) kann folgende Varianten besitzen: DOC, XLS, ZIP, EXE. Die zweite Erweiterung (ext2) besitzt eine der folgenden Extensions: PIF, LNK, BAT, COM.

Der Name des Attachment (Dateiname.ext1) kommt von einer beliebigen Datei, die im Ordner ’Eigene Dateien’ gespeichert wurde. Der Wurm erstellt eine Liste aller dort stehenden .DOC .EXE .GIF .JPG .JPEG .MPEG .MOV .MPG .PDF .XLS .ZIP – Dateien und speichert diese als SCD.DLL im System–Verzeichnis ab. Verschickt sich der Wurm, entnimmt er der Liste einen beliebigen Dateinamen und benennt das entsprechende Attachment um.

Wird der Wurm als Email empfangen, kann sie folgendermaßen aussehen:

Subject: Der Betreff der Email kann unterschiedlich sein. Der Wurm benützt den Namen des Attachment und trägt ihn in den Betreff ein.
Message: Der Nachrichten – Body hat verschiedene Inhalte, wobei die erste und letzte Zeile (in der Spanischen und Englischen Version) immer gleich sind.

 

Englische Version

Erste Zeile: Hi! How are you?
Letzte Zeile: See you later, Thanks

 

Spanische Version

Erste Zeile: Hola como estas ?
Letzte Zeile: Nos vemos pronto. Gracias

 

Wird das Attachment des Wurmes ausgeführt, wird ein Word Dokument (siehe Screenshot) aufgerufen, während im Hintergrund das System infiziert wird.

  weitere Virenbeschreibungen
  Virenkunde