TROJ_SIRCAM.A
「SirCam(サーカム)」
活動:
ワームはメールに自身のコピーを添付してネットワーク上で頒布します。メールに添付される
ワームのコピーにはメール送信を行ったマシン内の「マイ ドキュメント」フォルダから無作為に選んだDOC、XLS、もしくはZIPファイルがマージされています。
ファイル名はマージしたファイルのファイル名に.lnk、.pif、.com、
もしくは.exeの拡張子をつけたものになります。
例:SirCam.docをマージした場合 = "SirCam.doc.com"
そして、メールの件名はメールの添付ファイル名から拡張子を除いたものになります。
メール本文には英語版とスペイン語版があります。本文の最初と最後のセンテンスは固定で間に入るセンテンスがいくつかの候補から無作為に選ばれます: ・スペイン語の場合:
1行目:Hola como estas ?
最終行:Nos vemos pronto, gracias
間の行の候補:
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste
・英語の場合:
1行目:Hi! How are you?
最終行:See you later. Thanks
間の行の候補:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send you
This is the file with the information that you ask for メールの例:
件名:SirCam 本文:
"Hi! How are you? I send you this file in order to have your advice
See you later. Thanks"
添付ファイル名:SirCam.doc.com 註:上記はあくまでも例であり特に件名、添付ファイル名は不定ですのでご注意ください。 メールに添付されてユーザーのマシン内に侵入したワームは実行されるとマージした
ファイルをオープンしてユーザーの目を欺き、その裏では以下の要領でマシンのシステムを改変します。 1)以下のファイルを作成します:
・Windowsのシステムディレクトリ(Windows9xのデフォルトではc:\Windows\system)
"SCam32.exe"
"SCD.dll"
"SC??.dll"(「?」はランダムな一文字。ファイル名例:SC11.dll、SCW2.dll) ・C:\Recycled ディレクトリ
"SirC32.exe"
<メール添付に使用するワームファイル>
ワームが作成するファイルのうち、"SCam32.exe"と"SirC32.exe"は単純なワームのコピーです。"SC??.dll"、"SCD.dll"は実際にはデータファイルです。
<メール添付に使用するワームファイル>は潜入したマシン内の「マイ ドキュメント」フォルダ内から拡張子がDOC、XLS、ZIPのファイルを一つ選んで自身のコピーにマージしたものです。ファイル名は前述のようにオリジナルのファイル名に.lnk、.pif、.com、もしくは.exeの拡張子をつけたものになります。
2)Windowsのレジストリに以下の値を追加します:
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
値:Driver32 = "C:\Windows\System\Scam32.exe" これにより、Windows起動時にワームが自動起動されるように設定されます。
また、以下のレジストリの値も改変します: 場所:HKEY_CLASSES_ROOT\exefile\shell\open\command
値:C:\Recycled\SirC32.exe "%1" %*
これにより、拡張子.exeのファイルを実行すると同時にワームも起動されるように 設定
されます。またこのシステム変更の影響によってアプリケーションの実行に支障をきたす
場合があります。 また、ワーム活動の設定を記録するため、以下のレジストリキーも作成します: 場所:HKEY_LOCAL_MACHINE\Software\SirCam
このキーにはワームがメール送信に使用するメールサーバーのURLと送信者のアドレス、ワーム活動のために利用したオリジナルファイルのファイル名とフルパス、ワームの起動回数、などの情報が保存されます。
ワームは最終的にシステムに常駐し、ワーム活動を行います。
・メール送信:ワームはWindows標準のメールクライアントのアドレス帳とローカルドライブ内のhtmlファイルを調べてメールアドレスを取得します。
取得したメールアドレスは"SCD.dll"に記録し、自身のコピーを添付したメールを送信します。
ワームは予め設定されたメールサーバーと送信者を使用してメール送信を行いますのでユーザーが使用しているメールクライアントに送信記録などが残ることは有りません。
・ネットワークワーム:ワームは侵入したマシン上で割り当てられているネットワークドライブに対し、書き込みが行えるかどうかを調べます。書き込み可能なネットワークドライブがあった場合、その"Recycled"ディレクトリに"SIRC32.EXE"のファイル名で自身のコピーを作成します。このファイルは隠し属性で作成されます。すでに"Recycled"ディレクトリに"SIRC32.EXE"というファイルが存在した場合、ワームはそのドライブには既に感染済みと判断しこれ以下の活動は行いません。
次に、ネットワークドライブ内にDOSの設定ファイルである"Autoexec.bat"があった場合には
以下のコマンドを追加します:
@win \recycled\sirc32.exe これにより、コピーが行われたマシン側でも次回以降のシステム起動時にワームが自動実行されるように設定されてしまいます。
また、ネットワークドライブ内に"Windows"フォルダがあった場合には以下の活動を行います:
1)Windowsフォルダ内の"RUNDLL32.EXE"を"RUN32.EXE"にリネーム
2)Windowsフォルダ内に"RUNDLL32.EXE"のファイル名で自身のコピーを作成 これにより、Windowsのシステムファイルである"RUNDLL32.EXE"がワームに置き換えられてしまいます。"RUNDLL32.EXE"が呼び出されるような作業を行った場合、再起動せずともワームが活動を始めることになります。
----------------------------------------------------------
備 考:
一個のプログラムなので駆除は行えません。検出した場合はファイルごと削除してください。 すでにワームを実行してしまいシステム改変が行われてしまっていた場合やネットワーク越しにワームが侵入していた場合にはすべてのEXEファイルがワームと関連付けられてしまいます。改変されたシステムは以下の方法で修復する必要があります。
注意:ワームはネットワーク越しに拡散するのでワームが侵入したマシンはけしてネットワークには接続しないでください。可能であればWindowsをSAFEモードで再起動してから以下の手順を行ってください。
|
|
ウィルス名
発見日
分類
発生場所
感染対象
参考(情報 / 駆除方法など)
|