Die DEUTSCHEN Trojaner-Seiten
 
Home
Mailwurm/Virus W32/SirCam mit markanten Eigenschaften

In freier Wildbahn (wenn auch wahrscheinlich noch nicht in Deutschland) wurde ein neuer Mailwurm gesichtet, der sich in seinen Eigenschaften gegenüber den "herkömmlichen" Mailwürmern unterscheidet.

SirCam verschickt sich selber über alle gefundenen Mailadressen aus dem Windows Adressbuch und dem Browsercache des Internet Explorers. Da SirCam über eine eingebaute SMTP-Routine verfügt benötigt er noch nicht einmal das Mailprogramm Outlook bzw. Outlook Express, wie es sonst bei fast allen Mailwürmern der Fall ist. Doch kann er auch das Mailprogramm benutzen, soweit es vorhanden ist.

Eine infizierte, eingehende Mail trägt folgende Merkmale:

Dateiname: wird durch den Wurm stets neu generiert. Es sind Endungen wie *.exe, *.bat, *.com, *.pif und *.lnk möglich (mehr dazu siehe weiter unten)
Dateinlänge: 137.216 Bytes. Jedoch nur die Originaldatei, die meissten Anhänge haben eine Grösse von 200 bis 250 KB. Der Virus verschickt in einigen Fällen auch eine zufällig "gefundene" Datei auf dem System als zweiten Anhang mit.
Betreff: Name des Files, also ebenfalls stets abweichend
Mailtext: Hi! How are you ?
I send you this file in order to have your advice
oder I hope you can help me with this file that I send
oder I hope you like the file that I send you
oder This is the file with the information that you ask for

See you later. Thanks

Der Mailtext kann ich jedoch auch in spanischer Sprache auftauchen, der wie folgt aussieht:

Hola como estas ?
Te mando este archivo para que me des tu punto de vista
oder Espero me puedas ayudar con el archivo que te mando
oder Espero te guste este archivo que te mando
oder Este es el archivo con la informacion que me pediste

Nos vemos pronto, gracias.

Führt der Empfänger einer solchen Mail den Dateianhang aus, speichert sich dieser in den Ordner C:\RECYCLED (also "Papierkorb") und legt die Datei "SirC32.exe" im gleichen Verzeichnis an, welches den eigentlichen Virus darstellen soll. SirCam ist somit eigentlich ein Virus mit einer eingebauten "Wurmfunktion" zur weiteren Verbreitung. Scheinbar wird der Virus in diesem Verzeichnis aus dem Grund angelegt, da einige Virenscanner standartmässig nicht im "Papierkorb" suchen bzw. nicht dahingehend durch den Anwender konfiguriert wurde.

Als Autostarteintrag nutzt der SirCam eine Autostartmethode, die schon beim berühmt, berüchtigten Backdoor Trojaner "SubSeven" (siehe Archiv) bekannt ist und viele Anwender "Kopfzerbrechen" bei der Entfernung bereitet hat (siehe auch Report "SubSeven"):

HKCR\exefile\shell\open\command
\Default="C:\recycled\SirC32.exe" "%1" %*

Dieser Eintrag bezweckt, dass der Virus beim jedem Start einer EXE-Datei ebenfalls ausgeführt wird. Würde der Anwender jetzt lediglich die Datei "SirC32.exe" aus dem entsprechenden Verzeichnis löschen, können keine Programme mehr gestartet werden. Wie man diesen Umstand wieder repariert steht ebenfalls im SubSeven Report.

Desweiteren kopiert sich der Wurm aber auch noch unter dem Namen "SCam32.exe" in das Verzeichnis C:\Windows\System\ und legt einen weiteren Eintrag in der Registry an:

HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe

Auch diese Eintragung bezweckt bei jedem Systemstart die Ausführung der Datei "SCam32.exe".

Der Wurm stellt eine Liste aller Dateien mit den Endungen .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, und .ZIP aus dem Ordner "My Documents" (in deutsch "Meine Dokumente") als Datei "SCD.DLL" zusammen und speichert diese Datei in das Verzeichnis C:\Windows\System.

Nun liest der Virus noch alle Mailadressen aus dem Adressbuch und dem Browsercache aus, die er im gleichen Verzeichnis wie die "SCD.DLL" unter dem Namen "SCD1.DLL" ablegt.

Aus den beiden DLL-Dateien (die eigentlich noch nicht einmal welche in dem Sinne sind) entnimmt der Virus die notwendigen Informationen um sich automatisch zu versenden. Daraus ergeben sich auch die unterschiedlichen angehängten Dateinamen der verschickten E-Mails unter den möglichen Endungen *.exe, *.bat, *.com, *.pif und *.lnk .

Um seine Variablen zu speichern, nimmt der Virus eine Eintragung in der Registry unter "HKLM\Software\Sircam" vor.

Der Virus nutzt zur Massenaussendung einen SMTP-Server, den er in den infizierten Dateien finden konnte. In der Regel ist das der Mailserver des Opfers, der einem den Virus geschickt hat. Kann hier keine Verbindung aufgebaut werden, so nutzt er einen dieser drei Server:

doubleclick.com.mx, enlace.net, goeke.net

SirCam nutzt aber nur einen der drei Server, sobald die Aussendung vom Erfolg gekrönt wurde und stoppt seine Aktionen.

Unter Windows ME kann es aufgrund der automatischen Systemwiederherstellung Probleme geben. Virenscanner finden zwar auch Viren und Trojaner im Restore Verzeichnis, können diese daraus jedoch nicht entfernen. Das hat den Nachteil, dass Windows nach einer eigentlich erfolgreichen Reinigung, mittels der automatischen Systemwiederherstellung den Virus erneut einschleusen könnte.

Bevor der Virus entfernt wird, sollte die Restore-Funktion deaktiviert werden. Hier geht man wie folgt vor:

1. Klicke nacheinander auf Arbeitsplatz - Systemsteuerung - System - dann auf den Reiter "Leistungsmerkmale" - Erweiterte Einstellungen "Dateisystem" - Reiter "Problembehandlung" - ganz unten steht "Systemwiederherstellung deaktiviern" - hier ein Häckchen setzen und Windows neu starten. Der Anwender wird dazu auch aufgefordert.

2. Mittels der AntiViren Software den Virus entfernen lassen. Bitte auch alle Dateien aus dem Restore Ordner löschen, die diesen Virus enthalten. Auch sollte vor dem Neustart nochmals von Hand geprüft werden, ob auch die Eintragungen in der Registry entsprechend entfernt wurden. Manche Virenscanner habe damit Probleme, die dazu führen können, dass keine Programme mehr gestartet werden können. - Siehe hierzu auch weiter oben auf dieser Seite. Wer sich nicht durch den "Datenberg" der Registry wühlen möchte, der kann auch das praktische und kostenlose Programm "TrojanCheck" in deutscher Sprache dazu verwenden.

3. Danach Windows neu starten

4. Um die Restore-Funktion wieder zu aktivieren, siehe Schritt 1.

Bekannte Aliasnamen: W32.Sircam.Worm@mm, Backdoor.SirCam


WICHTIG !!!
Update 22.07.2001 (weitere Informationen zum Virus)

Der Wurm kann auch weitere Dateien an seine "automatischen" E-Mails anheften. Daher kann die Größe der angehängten infizierten Datei auch abweichen.

SirCam legt weitere Kopien seinesgleichen in verschiedenen Verzeichnissen an:
\RECYCLED-Verzeichnis im Windows-Laufwerk unter dem Namen "SirC32.exe", zum Beispiel:
C:\WINDOWS\
C:\RECYCLED\SirC32.exe
Windows-Systemdirectory unter dem Namen "SCam32.exe".
Windows-Directory unter dem Namen "ScMx32.exe".
Windows Autostart-Verzeichnis unter dem Namen "Microsoft Internet Office.exe".
Das Kopieren der Dateien wird durch den Virus jedoch nicht in einem Arbeitsgang erledigt, sondern "nach und nach".

Der Virus kann sich auch über lokale Netzwerke verbreiten, indem er die freigebenen Ressourcen nutzt. Auf dem anderen System kopiert sich der Virus als bzw. unter: \recycled\SirC32.exe .
Dazu fügt der Virus auf dem betroffenen Netzwerkrechner am Ende der Autoexec.bat folgende Befehlszeile hinzu: @win \recycled\SirC32.exe
Enthält das System noch ein Win-Verzeichnis benennt der Virus die "RUNDLL32.EXE" in "RUN32.DLL" um und überschreibt die Originaldatei mit seinem eigenen Code.

Bekannte lokale Schadensroutinen:

In einem Verhältnis von 1:20 entfernt SirCam alle im Windows-Verzeichnis befindlichen Dateien und Unterverzeichnisse. Dieses macht er von der Uhrzeit und dem Datum abhängig.

Desweiteren steht die Chance 1:50, dass der Virus eine SirCam.Sys-Datei bei Systemstart in das Stammverzeichnis anlegt und einen Text wie folgt hineinschreibt:

[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright © 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]

Aufgrund dieser Nachricht lässt es sich vermuten, dass SirCam aus Mexiko stammt und auch in spanischer Sprache in Erscheinung tritt. Kann natürlich auch nur zur Vertuschung seiner wahren Herkunft dahingehend programmiert worden sein.

SirCam scheint alle Rekorde in der Verbreitung zu brechen !
Der Virus wurde auch in Deutschland zahlreich gesichtet. Einige Webmaster gut besuchter Webseiten berichten von über 200 infizierten E-Mails am Tag.

Die Analysen seitens der AntiVirus Firmen unterscheiden sich teilweise nicht unerheblich. Aus diesem Grund ist durchaus davon auszugehen, dass der Virus eventuell in verschiedenen Variationen in Erscheinung tritt oder selbstständig in seinen Eigenschaften mutiert.

(27.07.2001) Schutzmassnahmen:

Wer einen Virenscanner installiert hat, sollte diesen schleunigst aktuallisieren. Die meissten AntiVirus Firmen dürften zwischenzeitlich ein Update herausgegeben haben.

Ausserdem bieten wir auch einen eigens durch Andrea Haak geschriebenen SirCam Cleaner an, der hier erhältlich ist. Das Programm kann den Virus finden und auch entfernen.

Spamfilter dürften in den allermeissten Fällen zu keinem Erfolg führen. Der Wurm generiert ständig neue Absender, Betreffzeilen und auch der Name und die Größe der angehängten Datei(n) verändert sich.

Administratoren können höchstens anhand der Texte in der Mail ihren Filter entsprechend konfigurieren, wenn dieser es überhaupt zulässt. Ob die Sperrung von eingehenden Mails mit Dateianhang (oder Begrenzung der Grösse) sinnvoll ist, muss jeder für sich selber entscheiden

Für geplagte User mit vielen eingehenden, verseuchten E-Mails empfiehlt sich auch ein Programm, welches dem Anwender ermöglicht erst die auf dem Server befindlichen E-Mails anzuschauen, ohne dieser herunterladen zu müssen.

Solche Programme gibt es z.B. bei freeware.de.

Auch einige Mailprogramme erlauben diese Funktion oder es können nur die Mailköpfe (Header) herunterladen und später unerwünschte Mails gelöscht werden. Schaut dazu einfach mal in die Hilfe eurer Mailsoftware.

Einige E-Mailanbieter unterstüzten auch das IMAP-Protokoll. Auch damit ist es möglich, sich eingehende E-Mails zunächst auf dem Server anzuschauen. Dazu fragt bitte bei eurem Anbieter nach und schaut in die Hilfe eurer Mailanwendung, ob diese das auch unterstützt.

Quellen:
nai.com
hoax-info.de
kaspersky.com

Erste Meldung: (tt) 19.07.2001
Letzte Update der Informationen: (tt) 27.07.2001