miércoles, 18 de julio de 2001

SirCam, gusano de propagación masiva

SirCam es un nuevo gusano que está consiguiendo una propagación
significativa en las últimas horas. Cómo identificación a primera
vista, SirCam viaja adjunto en un e-mail con las cadenas "Hola
como estas ?" y "Nos vemos pronto, gracias" como primera y última
línea del cuerpo del mensaje.
Las primeras muestras de SirCam fueron descubiertas ayer 17 de
julio, si bien en las últimas horas es cuando se está detectando
una distribución masiva que lo sitúan de momento en una alerta
de nivel medio. Se espera que la propagación remita tras las
pertinentes actualizaciones de los antivirus y la información
proporcionada sobre su modo de presentación y actuación.

Este gusano está consiguiendo una especial relevancia en países
de habla hispana, sin duda gracias a la utilización de frases en
español, además del inglés, para formar los mensajes en los
cuales se adjunta.

El e-mail donde se autoenvía lo compone de la siguiente forma:

Asunto: [nombre del archivo adjunto sin extensión]

Cuerpo:

Primera línea: "Hola como estas ?"

Línea central: [alguna de las siguientes frases al azar]
"Te mando este archivo para que me des tu punto de vista"
"Espero me puedas ayudar con el archivo que te mando"
"Espero te guste este archivo que te mando"
"Este es el archivo con la informacion que me pediste"

Última línea: "Nos vemos pronto, gracias."

Adjunto: [archivo con doble extensión]

La primera extensión del archivo que se adjunta puede ser .GIF, .JPG,
.JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, o .ZIP, mientras que la
última y realmente importante puede ser .BAT, .COM, .EXE, .LNK o .PIF.
En la configuración por defecto de Windows la segunda extensión no
se visualizaría, lo que sin duda puede lograr engañar a los usuarios
haciéndoles creer que se trata de un documento inofensivo.

Las cadenas de texto de la versión en ingles son las
siguientes:

Primera línea: "Hi! How are you?"

Central:
"I send you this file in order to have your advice"
"I hope you can help me with this file that I send"
"I hope you like the file that I send you"
"This is the file with the information that you ask for"

Última línea: "See you later. Thanks"

Cuando el gusano se ejecuta en un sistema se sitúa en la Papelera
de reciclaje de Windows copiándose cómo C:\RECYCLED\SirC32.exe. Esta
carpeta suele permanecer oculta en Windows, además algunos antivirus
la tienen excluida de sus análisis según la configuración por
defecto.

El gusano también añade una entrada al registro de Windows para
asegurarse que SirCam se carga en memoria cada vez que un archivo
.EXE es ejecutado:

HKCR\exefile\shell\open\command\
Default="C:\recycled\SirC32.exe" "%1" %*

Otra copia renombrada como SCam32.exe la sitúa en la carpeta
Windows\System, así como una nueva entrada en el registro para
asegurar su activación cada vez que se inicia el sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Driver32=C:\WINDOWS\SYSTEM\SCam32.exe

A continuación SirCam crea una lista con los nombres de los archivos
que encuentra en la carpeta Mis Documentos y cuyas extensiones sean
.GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, o .ZIP. El
listado lo almacena en el archivo SCD.DLL en Windows\System. De forma
similar recoge en la misma carpeta, bajo el nombre de archivo
SCD1.DLL, una lista con todas las direcciones de correo electrónico
que encuentra en la libreta de direcciones de Windows y en la carpeta
de archivos temporales de Internet. El segundo y tercer carácter del
nombre de los archivos .DLL donde almacena las listas puede variar
al azar.

El gusano contiene su propia rutina SMTP para autoenviarse a las
direcciones que tiene almacenadas en la lista SCD1.DLL. Para componer
el archivo infectado a enviar el gusano se copia al principio de
alguno de los archivos listados en SCD.DLL añadiendo al final la
segunda extensión. De esta forma consigue distintas apariencias según
va infectando sistemas.



Bernardo Quintero
bernardo@hispasec.com


Más información:

NAi. W32/SirCam@MM:
http://vil.nai.com/vil/dispvirus.asp?virus_k=99141

Panda Software. W32/SirCam:
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Sircam

Symantec. W32.Sircam.Worm@mm:
http://www.sarc.com/avcenter/venc/data/w32.sircam.worm@mm.html

Sophos. W32/Sircam-A:
http://www.sophos.com/virusinfo/analyses/w32sircama.html

F-Secure. Sircam:
http://www.f-secure.com/v-descs/sircam.shtml