Kaspersky Lab, eine internationale Software-Schmiede im Bereich Datensicherheit, warnt die Benutzer vor dem neuen Internet-Wurm "SirCam", der sich durch eMail und lokale Rechnernetze verbreitet.

Kaspersky Lab erhielt bereits am 18. Juli Meldungen über das Auftreten des Wurms 'in the wild' und hat bereits am selben Tag ein Update zum Schutz vor dem Wurm zur Datenbank von Kaspersky Anti-Virus™ hinzugefügt.

Technische Beschreibung

Hierbei handelt es sich um einen gefährlichen Wurm, der sich per Internet und lokale Rechnernetze verbreitet. Die Trägerdatei ist eine mit Delphi geschriebene Windows-Anwendung, die etwa 130 Kb groß ist. Bei seiner Verbreitung kann der Wurm neben seinen eigenen Dateien auch zusätzliche DOC-, XLS- und ZIP-Dateien anheften (siehe unten), sowie auch Dateien in anderen Formaten, so dass die Größe des Attachments 130 KB überschreiten kann.

Nach dem Starten (zum Beispiel durch Doppelklick auf das Icon der angehängten infizierten Datei), dringt der Wurm ins System ein, versendet die infizierten Nachrichten (die angehängte Dateien mit einer Wurmkopie umfassen), infiziert Computer, die zum lokalen Rechnernetz angeschaltet sind (falls es im Netz Festplatten gibt, auf die er sich speichern kann), und führt - je nach Systemdatum - eine eingebaute Routine aus.

Email-Verbreitung

Der Wurm verschickt sich von den infizierten Rechnern per eMail als angehängte Datei mit einem beliebigen Namen und doppelter Extension:

filename.ext1.ext2

Die Extension "ext1" kann eine der folgenden Varianten sein: DOC, XLS, ZIP, EXE. Die Extension "ext2" wird ebenfalls willkürlich aus PIF, LNK, BAT, COM gewählt, zum Beispiel:

feb01.xls.pif
normas.doc.bat

"filename.ext1" wird aus einer Datei erstellt, die im infizierten System vorhanden ist. Der Wurm sucht bei der Versendung nach "ext1"-Dateien (siehe oben), und verwendet den vollen Dateinamen als Namen des infizierten Anhangs. Somit beinhalten die Dateien, die vom infizierten Computer gesandt werden, zwei Teile:

1. den Wurm-EXE-Code;
2. die angehängten zusätzlichen Daten, die willkürlich im infizierten Computer ausgewählte DOC/XLS/ZIP/EXE-Dateien darstellen. Diese angehängte Datei wird dann durch den Wurm benutzt, um seine Aktivität zu verbergen (siehe unten).

Als Nebenwirkung dieser "angehängten Dateien" kann es dazu kommen, dass vertrauliche Informationen verbreitet werden.

Der Betreff der infizierten Nachrichten ist ein "Dateiname", wie oben beschrieben (und zwar der Name der angehängten Datei).

Der Body ist entweder in Englisch oder Spanisch gehalten. Die ersten und letzten Zeilen der Meldung sind immer dieselben:

Die erste Zeile:	Hi! How are you?	Hola como estas ?
Die letzte Zeile:	See you later. Thanks	Nos vemos pronto, gracias.

Die Varianten des Texts zwischen diesen Zeilen sind:

I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send to you
This is the file with the information that you ask for

Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la información que me pediste

Der Wurm bekommt die eMail-Adressen weiterer 'Opfer' durch Scannen von Dateien, in denen eMail-Adressen gespeichert sein können: SHO*, GET*, HOT*, *.HTM, *WAB, und einige andere. Das Suchresultat wird dann durch den Wurm in den 'unechten' DLL-Dateien im Systemverzeichnis gespeichert:

SCD.DLL-Datei beinhaltet die "ext1"-Dateienliste
SCH1.DLL, SCI1.DLL-Dateien enthalten die Liste der eMail-Adressen, die in den gescannten Dateien gefunden wurden.

Es können auch SCT1.DLL- und SCY1.DLL-Dateien im Systemdirectory gefunden werden, in diesen Dateien speichert der Wurm zusätzliche Daten.

Installation im System

Der Wurm kopiert sich in die folgenden Verzeichnisse:

1. \RECYCLED-Verzeichnis im Windows-Laufwerk unter dem Namen "SirC32.exe", zum Beispiel:

   C:\WINDOWS\
   C:\RECYCLED\SirC32.exe

2. Windows-Systemdirectory unter dem Namen "SCam32.exe".
3. Windows-Directory unter dem Namen "ScMx32.exe".
4. Windows Autostart-Verzeichnis unter dem Namen "Microsoft Internet Office.exe".

Zu beachten ist, dass der Wurm nicht alle diese Schritte beim ersten Autostart durchführt, einige der Dateien werden je nach den aktuellen Bedingungen erstellt.

All diese Dateien bekommen das Attribut "Hidden".

Die zwei ersten Dateien werden dann in den Autostart-Bereich der Systemregistrierung eingetragen:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Driver32 = %windows system directory%\SCam32.exe

HKCR\exefile\shell\open\command
SirC32.exe

Der Wurm greift dann eine angehängte "decoy"-Datei (siehe oben) im Windows TEMP-Verzeichnis heraus. Diese "decoy"-Datei trägt den Namen "filename.ext1". Der Wurm öffnet diese Datei mit WINWORD.EXE oder WORDPAD.EXE, EXCEL.EXE, WINZIP.EXE abhängend von "ext1".

Der Wurm erstellt auch zusätzliche Registry Keys und speichert seine internen Daten unter dem Key HKLM\SOFTWARE\SirCam.

Netzwerkverbreitung

Um sich über ein lokales Rechnernetz zu verbreiten, ermittelt der Wurm die vorhandenen Netzwerkressourcen (alle freigegebenen Verzeichnisse auf Remote-Rechnern), und kopiert sich dann dorthin. Wenn es in dem freigegebenen Verzeichnis ein "\recycled"-Verzeichnis gibt, kopiert sich der Wurm unter dem Namen 'SirC32.exe' dorthin:

\recycled\SirC32.exe

Der Wurm fügt dann am Ende der „AUTOEXEC.BAT"-Datei folgenden Befehl hinzu:

@win \recycled\SirC32.exe

Wenn es dort ein "\Windows"-Verzeichnis gibt, benennt der Wurm die „RUNDLL32.EXE"-Datei mit dem „RUN32.EXE"-Namen um und danach überschreibt die ursprüngliche „RUNDLL32.EXE" mit seiner eigenen Kopie.

Der Wurm setzt für seine Kopien das Dateiattribut 'versteckt'.

Schadenskomponente

Je nach Systemdatum und -Zeit entfernt der Wurm mit einer Wahrscheinlichkeit von 1:20 willkürlich alle Dateien und Unterverzeichnisse aus dem Windows-Verzeichnis.

Mit einer Chance von 1:50 erstellt der Wurm beim Systemstart eine SirCam.Sys-Datei im Stammverzeichnis des aktuellen Laufwerks und schreibt einen der folgenden Texte hinein:

[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright © 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]

Es scheint, dass der Wurm diese Texte viele Male schreibt, um den Festplattenraum zu füllen.

Diese Strings (wie auch die meisten anderen Text-Strings) sind im Wurm-Body verschlüsselt.