SirCam virusas ir kaip jį sunaikinti

“SirCam” viruso aprasymas.

Platforma: Windows9x/NT/2000/XP.
Tipas: E-pasto kirminas (worm).
Rizikos lygis: Aukstas.
Viruso vardas: W32/SirCam@MM.

1. Uzhkretimas

Virusas platinasi e-laiskuose, attachmento pavidale. Uzkresto laisko pavyzdys:

—[cut]—

Subject: [failo vardas (atsitiktinis)]
Body: Hi! How are you?
I send you this file in order to have your advice
arba “I hope you can help me with this file that I send”

arba “I hope you like the file that I sendo you”
arba “This is the file with the information that you ask for”

See you later. Thanks

—[cut]—

Arba Ispaniska versija:

—[cut]—

Hola como estas ?

Te mando este archivo para que me des tu punto de vista
arba “Espero me puedas ayudar con el archivo que te mando”
arba “Espero te guste este archivo que te mando”
arba “Este es el archivo con la informaciķn que me pediste”
Nos vemos pronto, gracias.

—[cut]—

Kaip visada, del “Windows” opcijos “hide extension for known file types”, imanoma apgauti vartotoja dvigubu failu prapletimu, pavyzdziui, faila ‘dokumentas.doc.exe’ windowsai rodys kaip ‘dokumentas.doc’. Padaryti exe faile wordo ikonke irgi nesudaro sunkumu.

DEMESIO!!! Neatidarinekite faila su auksciau paminetu tekstu, net jeigu jis atejo is patikimo adreso ir turi pazistama attachmenta.

2. Kirmino veiksmai

Po attachmento paleidimo virusas atlieka tokius veiksmus:

1. Isiraso i C:recycledsirc32.exe faila.
2. Isiraso i C:windowssystemscam32.exe faila.
3. Iraso savo paleidima ikrovimo metu i registro HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesDriver32 rakta.
4. Isiraso i registro HKCRexefileshellopen rakta.
5. Isiraso i autoexec.bat faila.
6. Iesko My Documents kataloge GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS ir .ZIP tipo failus.
7. Iesko “Address Book” kontaktinius e-mail adresus.
8. Iesko cashuotus e-mail adresus.
9. Issisiuncia sitais adresais surastu failu pavadinimais.

ISVADA: Vartotojas gauna nuo pazistamo zmogaus laiska su iprastu failu, atidarineja attachmenta ir tampa eiline kirmino auka.

3. Kaip iskrapstyti kirmina is sistemos

Reikia atlikti veiksmu eile:
1. Paledziame DOS prompta: Start->Run->Command->OK.
2. Darome regedit.exe kopija:
copy c:windowsregedit.exe c:windowsreg.exe
3. Perkrauname sistema: Start->Shutdown->Restart.
4. Po POST’o spaudziame F8, kad patekti i boot menu.
5. Pasirenkame “Safe Mode”.
6. Paleidziame registro redaktoriu: Start->Run->reg.exe.
7. Pasirenkame My Computer ir Registry->Export Registry File.
8. Pasirenkame kopijos failo pavadinima, pvz backup (eksportuojame i backup.reg faila).
9. Atidarome HKCRexefileshellopen.
10. Pakeiciame komanda i eilute: “%1” %* (kabutes, procentas, vienas, kabutes, tarpas, procentas, zvaigzdute).
11. Atidarome HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices.
12. Triname Driver32=C:WINDOWSSYSTEMSCam32.exe rakta (kirmino paleidima is registro).
13. Paledziame DOS prompta: Start->Run->Command->OK
14. Redaguojame autoexec.bat:
edit c:autoexec.bat
15. Triname eilute “@win recycledsirc32.exe”.
16. Triname (su NC, VC arba per DOS) failus c:recycledsirc32.exe ir c:windowssystemscam32.exe.
17. Perkrauname sistema: Start->Shutdown->Restart.
18. Daugiau NEBEATIDARINEJOME attacmentus.

PATARIMAI:

1. Skubiai atnaujinti antiviruso bazes ir padaryti pilna patikrinima.
2. Paieskoti registre raktus/reiksmes, kur yra eilute “SirC”.
3. Paieskoti failus su vardais sirc*.* ir s*32.exe.
4. Isitikinti kad surasti failai/raktai nera kirmino dalis.