Είστε εδώ: Αρχική > Τεύχη > 04 > SirCam Worm - Viva La Mexico!

SirCam Worm - Viva La Mexico!

- Από τον Thunder

Το καλοκαίρι που μας πέρασε ένα καινούργιος ιός (σκουλήκι) άρχισε να μεταδίδεται μέσω e-mail. Το εν λόγω worm ονομάζεται SirCam (επίσης γνωστό σαν W32.Sircam.Worm@mm), κυκλοφορεί σε δύο εκδόσεις, αγγλική και ισπανική, και προσβάλει υπολογιστές με λειτουργικό σύστημα Windows. Θυμίζει παλαιότερα worms όπως το ILOVEYOU και το Melissa όμως θεωρείται ακόμη πιο επικίνδυνος για τους λόγους που θα αναφέρουμε παρακάτω.

Φτάνει στον υπολογιστή σας μέσα σε μήνυμα e-mail και φυσικά έχει ένα attached αρχείο. Αν εσείς τρέξετε το αρχείο, τότε θα μολυνθείτε και θα πρέπει να ανησυχείτε, αν όμως σβήσετε το μήνυμα εντελώς, τότε δε θα έχετε προσβληθεί. Ας υποθέσουμε ότι κάποιος λαμβάνει ένα τέτοιου είδους e-mail, να τι θα πρέπει να περιμένει :

Ο τίτλος του μηνύματος είναι διαφορετικός κάθε φορά, ίδιος με το όνομα του τυχαίου μολυσμένου αρχείου που συνοδεύει το μήνυμα. Στην πρώτη γραμμή μπορούμε να δούμε τη φράση Hi! How are you? ή Hola como estas ? ανάλογα με τη γλώσσα. Μετά θα βρούμε κάποια πρόταση από τις παρακάτω : I send you this file in order to have your advice / I hope you can help me with this file that I send / I hope you like the file that I sendo you / This is the file with the information that you ask for, ή Te mando este archivo para que me des tu punto de vista / Espero me puedas ayudar con el archivo que te mando / Espero te guste este archivo que te mando / Este es el archivo con la informaciοn que me pediste. Στην τελευταία γραμμή θα λέει : See you later. Thanks ή Nos vemos pronto, gracias.

Ο ιός αποφασίζει σε ποια έκδοση θα σταλεί όσο είναι στο PC του προηγούμενου θύματος. Αν δηλαδή ο αποστολέας έχει Ισπανικά Windows, θα στείλει την ισπανική έκδοση, αν όμως ο επόμενος που θα μολυνθεί έχει Αγγλικά Windows, θα αλλάξει στέλνοντας την αγγλική στα επόμενα θύματά του και πάει λέγοντας.

Πώς διαλέγει ο SirCam τα θύματα του; Αφού μολύνει τον «ξενιστή» υπολογιστή, ψάχνει συγκεκριμένους φακέλους του σκληρού δίσκου του για οποιαδήποτε e-mail διεύθυνση περιέχεται στα αρχεία sho*., get*., hot*. και *.htm, τις οποίες και καταγράφει στα δικά του αρχεία με όνομα scy1.dll, sch1.dll, sci1.dll και sct1.dll. Ακόμη και αν εσείς έχετε κλείσει το πρόγραμμα με το οποίο δέχεστε μηνύματα (π.χ. έχετε κάνει Log off από την on-line υπηρεσία ηλεκτρονικού ταχυδρομείου σας ή uninstall τον e-mail client σας), εκείνο έχει δικό του SMTP server, δηλαδή δεν είναι απόλυτα εξαρτημένο από το PC σας, και θα καταφέρει να στείλει τον εαυτό του 8000 φορές σε όσες διευθύνσεις μαζέψει.

Πού κρύβεται; Έχει κάνει καταχωρήσεις στο Registry των Windows σας και έχει σκορπίσει διάφορα αρχεία του στο Recycled, το Temp, το System και άλλους φακέλους. Επίσης μέσω δικτύου (αν έχετε κάτι τέτοιο) διαδίδεται σε όσους περισσότερους σκληρούς δίσκους μπορεί, στους οποίους κάνει ακριβώς την ίδια ζημιά με εσάς. Φυσικά δε μολύνει μόνο τον δίσκο C:\ αλλά οποιοδήποτε εκτελέσιμο «τρέξετε» σε οποιονδήποτε σκληρό δίσκο του υπολογιστή σας.

Αυτό ήταν όλο; Δυστυχώς όχι, τα προβλήματά σας μόλις άρχισαν. Αφού μολύνει όσα .exe αρχεία εκτελείτε (.exe = executable) και διαλέξει στην τύχη ένα (το οποίο πρέπει να είναι τουλάχιστον 134 kilobyte) και το στείλει 8000 φορές σε όσους ξέρετε και δεν ξέρετε (αντί για .exe τα στέλνει με κατάληξη .bat, .com, .lnk ή .pif για να μην τραβήξουν αμέσως την προσοχή), τότε «υποκρίνεται» πως σταματάει να λειτουργεί. Κάποιος μπορεί να σκεφτεί πως η ζημία ήταν μικρή και πως πρέπει μόνο να ζητήσει 8000 συγνώμη. Υπάρχει όμως μια πιθανότητα (συγκεκριμένα 1/20) στις 16 Οκτωβρίου να ενεργοποιηθεί ξανά και είτε να σβήσει ΟΛΑ τα αρχεία του σκληρού σας δίσκου, είτε να γεμίζει συνεχώς το δίσκο σας αυξάνοντας το μέγεθος του αρχείου Sircam.sys το οποίο θα δημιουργήσει στο φάκελο Recycled. Αυτό όμως συμβαίνει μόνο σε υπολογιστές που αποθηκεύουν την ημερομηνία στη μορφή ημέρα/μήνας/χρόνος (dd/mm/yy), όπως είναι οι υπολογιστές των Ελλήνων, των Ευρωπαίων, γενικότερα πολλών άλλων λαών, αλλά όχι των Αμερικάνων.

Γιατί συμβαίνει αυτό; Γιατί κάποιοι "τη γλιτώνουν"; Επειδή η ημερομηνία εκτέλεσης του καταστροφικού κώδικα είναι 16/10/ΧΧ (όπου ΧΧ είναι το οποιοδήποτε έτος). Οι Αμερικάνοι την ημέρα εκείνη θα βλέπουν 10/16/ΧΧ άρα δε θα επηρεαστούν από αυτό και αν το σκεφτούμε, δε θα δουν ΠΟΤΕ τέτοια ημερομηνία καθώς δεν υπάρχει 16ος μήνας. Βλέπετε, εκείνος που έγραψε το σκουλήκι ήταν από το Μεξικό όπου οι υπολογιστές χρησιμοποιούν τη μορφή ημέρα/μήνας/έτος και καθώς ετοίμαζε το «δημιούργημά» του, το σχεδίασε με αυτό σαν βάση. Υποθέτω ότι δε σκέφτηκε πως υπήρχε και το μήνας/ημέρα/έτος γιατί θα μπορούσε απλά να βάλει ημερομηνία του στυλ 10/10/ΧΧ, που υπάρχει παντού. Ίσως πάλι να συμβολίζει κάτι αυτή η ημέρα για τον ίδιο. Πάντως για την Ευρωπαϊκή κοινότητα συμβολίζει τον κίνδυνο.

Άλλο λάθος του ιού είναι πως οι διαδικασίες που εκτελεί δεν μπορούν να επηρεάσουν υπολογιστές με Windows NT ή Windows 2000, κάτι που όπως εικάζουν οφείλεται σε προγραμματιστικό λάθος και όχι σε εκούσια επιλογή του δημιουργού. Αυτό που όμως χαρακτηρίζει τον SirCam είναι η σημείωση που αφήνει στο αρχείο Sircam.sys. Το συγκεκριμένο αρχείο χρησιμοποιείται για να γεμίσει ο σκληρός δίσκος καθώς του προσθέτει συνέχεια την ίδια πρόταση. Αυτή η πρόταση διαφέρει από έκδοση σε έκδοση. Είναι είτε η [SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX], είτε η [SirCam Version 1.0 Copyright 2000 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]. Από αυτά μπορούμε να υποθέσουμε πως το worm σχεδιάστηκε στην κοινότητα Michoacan της πόλης Cuitzeo του Μεξικού, το έτος 2000, από την ομάδα που αυτοαποκαλείται 2rP. Άραγε το ότι είναι μόλις στη Version 1.0, θέλει να μας κάνει να υποθέσουμε πως θα υπάρξουν κι άλλες;...

Πώς «θεραπεύεται»; Ευτυχώς μεγάλες εταιρίες «όρμησαν» στην αναγνώριση και εξόντωση του SirCam εγκαίρως. Μπορείτε να βρείτε διάφορα αρχεία που βοηθούν έναν υπολογιστή να ξεφορτωθεί το worm, συστήνω ανεπιφύλαχτα εκείνο της Symantec (ιδιοκτήτης του Norton Antivirus) όμως και η ιστοσελίδα Antivirus.com έχει τη δικιά της λύση να προτείνει. Σας προτείνω αν έχετε την παραμικρή ένδειξη ότι μολυνθήκατε από τον εν λόγω ιό να κατεβάσετε αυτά τα αρχεία και να ελέγξετε τον υπολογιστή σας ΠΡΙΝ τις 16 Οκτωβρίου, γιατί μετά δε θα έχει και μεγάλη σημασία ;-)

Ολοκληρώνοντας θα ήθελα να τονίσω για ακόμη μια φορά πως ΔΕΝ πρέπει να ανοίγουμε αρχεία που δεχόμαστε, ειδικά όταν βλέπουμε πως συνοδεύονται από αμφίβολο κείμενο ή αν έχουν παράξενο όνομα ή αν απλά δεν τα περιμέναμε. Είναι καλό πριν εμείς οι ίδιοι στείλουμε κάποιο αρχείο κάπου, να έχουμε ειδοποιήσει τον παραλήπτη από πριν, επειδή το Internet είναι ένα πολύ παράξενο μέρος.