News 30.07.2001, 17:15 Uhr

W32/Sircam

Ein überaus fleissiger E-Mail-Wurm, der sich auch über Netzwerk-Freigaben verbreitet.
Seit Mitte Juli 2001 verbreitet sich rasend schnell ein neuer Mail-Wurm namens W32/Sircam. Die Mails, mit denen der Sircam-Wurm eintrifft, sehen etwa so aus:
Betreff: [Gleich wie Beilage, aber ohne Endung]
Beilage: [zufälliger Name] mit doppelter Endung (doc.lnk, zip.com, jpg.pif usw.)
MailText:
"Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks"
Der Mailtext wurde auch in einer spanischen Version gesichtet. In der PCtip-Redaktion sind übrigens ebenfalls Exemplare eingetroffen. Aber bei uns wurde die schädliche Beilage schon durch ein Outlook Sicherheitsupdate blockiert (Bild oben).
Wird die Beilage durch den unvorsichtigen Mail-Empfänger ausgeführt, kopiert sich der Wurm mit dem Dateinamen SirC32.exe in den Ordner C:\Recycled\ und als SCam32.exe in den Windows System-Ordner. In der Windows Registry wird die Datei SirC32.exe so eingetragen, dass sie bei jedem Ausführen einer EXE-Datei automatisch mitgestartet wird. Die Datei SCam32.exe wird in der Registry als Treiber angemeldet, so dass sie bei jedem Systemstart mitgeladen wird.
Nun sammelt der Wurm die Adressen des Windows Adressbuchs und speichert sie im System-Ordner in einer eigenen DLL-Datei, beginnend mit "sc", also beispielsweise scw1.dll.
Ferner erstellt der Wurm noch eine Datei, in der er eine Liste der Dateien sammelt, die er im "Eigene Dateien"-Ordner findet. An die zuvor gesammelten Mail-Adressen verschickt Sircam eine der Dateien, die er in diesem Ordner findet: Er hängt der Datei seinen Virencode an und versieht sie dabei mit einer zweiten Endung.
Ausser per Mail verbreitet sich der Sircam-Wurm auch über Netzwerkfreigaben, indem er sich in freigegebene Ordner anderer PCs kopiert und versucht, in deren Datei AUTOEXEC.BAT eine Befehlszeile hinzuzufügen, die den Wurm beim nächsten PC-Start ausführt.
Die eigentlichen Schadensfunktionen hängen von verschiedenen Umständen ab: In einem von 33 Fällen kopiert sich der Wurm auch mit einer Datei namens scmx32.exe in den Windows-Ordner und als "Microsoft Internet Office.exe" in den Ordner, der in der Registry als Autostart-Ordner festgelegt ist. Wenn ihm dies gelingt, wird im Papierkorb (C:\Recycled) eine Datei mit dem Namen sircam.sys erzeugt, die sich stetig mit Text füllt, bis das Laufwerk voll ist. Und am 16. Oktober wird in einem von 20 Fällen das Laufwerk C: gelöscht.
Verschiedene Antivirus-Hersteller führen den Wurm als mittlere bis hohe Bedrohung in ihren Virennachschlagewerken, so beispielsweise F-Secure [1], Network Associates (McAfee) [2], Sophos [3] und Symantec (Norton) [4].
UPDATE: Wer sich die manuelle Beseitigung anhand der untenstehenden Beschreibung ersparen möchte, findet seit dem 30. Juli 2001 im PCtip-Download-Bereich eine entsprechende Batchdatei [5]. Diese wurde von Sophos entwickelt und mit tatkräftiger Unterstützung des PCtip an deutschsprachige Windows-Umgebungen angepasst.
Wer den Virus lieber manuell aus dem System pflücken will, sollte zuerst mit dem Registry Editor (Regedit) dessen Einträge aus der Registry entfernen. Da sich der Wurm aber mit dem Starten jeder EXE-Datei wieder ausführt, erstellen Sie in einem DOS-Fenster zuerst eine Kopie der Datei REGEDIT.EXE mit dem Namen REGEDIT.COM. Das geht so:
"Start/Ausführen", COMMAND eintippen und die Enter-Taste drücken. Damit das DOS-Fenster bestimmt im richtigen Ordner arbeitet, tippen Sie dies ein und schliessen auch dies mit Enter ab: cd\windows
Dieser Befehl erstellt die Kopie des Registry Editors:
copy regedit.exe regedit.com
Starten Sie jetzt diese Datei, indem Sie folgendes eintippen und anschliessend Enter drücken: regedit.com
ACHTUNG: Eine Fehlmanipulation im Registry Editor könnte für Ihr System schwerwiegende Folgen habe. Sichern Sie deshalb zuerst die Registry, bevor Sie daran Änderungen vornehmen:
Klicken Sie die oberste Zeile (Arbeitsplatz) im Registry-Editor an. Im Menü "Registrierung/Registrationsdatei exportieren" achten Sie darauf, dass im Exportbereich die Option "Alles" gewählt ist. Geben Sie der Datei einem Namen, z.B. "backup" und klicken Sie auf "Speichern".
Die Einträge in der Registry sind wie Ordner dargestellt. Durch Klicks auf die Plus-Zeichen vor den Ordnernamen öffnen sich die darunter liegenden Einträge. Gehen Sie zu *exakt* diesem Eintrag und klicken Sie ihn an, um ihn zu markieren:
HKEY_CLASSES_ROOT\exefile\shell\open\command
In der rechten Fensterhälfte doppelklicken Sie den Eintrag (Standard) und löschen dessen ganzen Inhalt, inkl. allfälliger Leerzeichen. Nun tippen Sie dort genau dies ein, inklusive Anführungszeichen: "%1" %*
(Beachten Sie: nach "%1" gehört ein Leerzeichen.)
Klicken Sie OK, dann wird der Registry-Editor noch zwei weitere Gänsefüsschen anbringen, damit der Eintrag korrekterweise so aussieht:
""%1" %*"
Nun gehen Sie zu diesem Eintrag, den der Wurm selber erstellt hat: HKEY_LOCAL_MACHINE\Software\SirCam
Klicken Sie mit rechts darauf und wählen Sie im Kontextmenü "Löschen".
Jetzt gehen Sie noch zu diesem Eintrag und markieren ihn durch einen Klick:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
In der rechten Fensterhälfte sollten Sie unter anderem einen Eintrag namens "Driver32" sehen. Auch dieser wurde vom Schädling erzeugt. Klicken Sie ihn an und drücken die Delete-Taste. Jetzt ist die Registry soweit gesäubert, dass Sie sich ans Entfernen der Virendateien machen können. Schliessen Sie den Registry-Editor.
Da Sie noch das DOS-Fenster offen haben, werfen Sie auch gleich einen Blick in Ihre AUTOEXEC.BAT-Datei. Tippen Sie dies ein und schliessen Sie die Eingabe mit der Enter-Taste ab: edit c:\autoexec.bat
Wenn Sie dort eine solche Zeile finden, *löschen* Sie sie:
@win \recycled\sirc32.exe
Den Editor mit der Autoexec.bat schliessen Sie danach so:
Menü Datei wählen mit Tastenkombination "ALT-D"
Taste B für Beenden
Taste J um das Speichern der Änderungen zu bestätigen.
Scannen Sie nun Ihre Festplatte mit einem aktualisierten Virenscanner. Löschen Sie alle Dateien, die von Ihrem Antivirusprogramm als "SirCam"-Wurm identifiziert werden. Löschen Sie auch die Datei C:\Recycled\sircam.sys, falls vorhanden.



Kommentare
Es sind keine Kommentare vorhanden.