DESCRIZIONE
Questo virus è stato creato con il linguaggio di
programmazione Delphi, si tratta di un Worm che si propaga via posta elettronica
utilizzando i comandi SMTP. Spedisce e-mail infette a tutti gli indirizzi
dell’agenda personale, allegando un file con un nome sempre diverso. Inoltre,
si diffonde sfruttando le cartelle condivise nelle reti di computer.
PROPAGAZIONE
Le e-mail infette arrivano con file allegati che hanno nomi contenenti
una doppia estensione. I file sono scelti casualmente sfruttando la seguente
chiave del registro di configurazione:
HKEY_CURRENT_USER - SOFTWARE\MICROSOFT
– WINDOWS – CURRENTVERSION – EXPLORER - SHELL FOLDERS - PERSONAL
I possibili nomi per la seconda estensione sono .LNK, .EXE, .COM, .BAT
e .PIF.
Le mail possono arrivare in lingua inglese o spagnola, l’oggetto è
il nome del file allegato. Possibili messaggi sono riportati di seguito:
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
I hope you like the file that I sendo you
This is the file with the information that you ask for
I hope you can help me with this file that I send
Hola como estas ? Te mando este archivo para que me des tu punto
de vista
Nos vemos pronto, gracias.
Este es el archivo con la informacion que me pediste
Espero te guste este archivo que te mando
Espero me puedas ayudar con el archivo que te mando
Quando viene eseguito il file allegato, contenente l’infezione, vengono
creati i file SCAM32.EXE, nella directory di sistema (C:\WINDOWS\SYSTEM
solitamente) e SIRC32.EXE, nella cartella C:\RECYCLED.
In seguito, insidia il registro di configurazione, aggiungendo le seguenti
voci:
- HKEY_LOCAL_MACHINE - SOFTWARE\MICROSOFT\WINDOWS – CURRENTVERSION
- RUNSERVICESDRIVER32 = “%systemdir%\Scam32.exe”
- HKEY_CLASSES_ROOT – EXEFILE – SHELL – OPEN – COMMAND = “”C:\Recycled\SirC32.exe”
”%1” %*
- HKEY_LOCAL_MACHINE – SOFTWARE - SIRCAM
Cerca il file AUTOEXEC.BAT e aggiunge la riga @win\recyled\sirc32.exe.
Cerca il file RUNDLL32.EXE nella directory del sistema operativo (C:\WINDOWS)
e cambia il nome in RUN32.EXE, poi copia se stesso nella stessa cartella,
con il nome RUNDLL32.EXE.
ISTRUZIONI PER RIMUOVERE IL VIRUS
Riavviare il computer in modalità provvisoria;
- Aprire il comando START – ESEGUI e digitare REGEDIT.EXE, poi premere
INVIO, si apre l’editor del registro di configurazione;
- Nella finestra sinistra aprire la voce
HKEY_LOCAL_MACHINE – SOFTWARE – MICROSOFT – WINDOWS – CURRENTVERSION
– RUNSERVICES;
- Nella finestra destra cercare e cancellare la chiave “Driver32;
- Nella finestra sinistra cancellare la voce
HKEY_LOCAL_MACHINE – SOFTWARE – SIRCAM
- Nella finestra sinistra aprire la voce
HKEY_CLASSES_ROOT – EXEFILE – SHELL – OPEN - COMMAND;
- Nella finestra destra selezionare il valore “Default”, fare un clic
con il tasto destro e scegliere MODIFICA;
- Sostituire il contenuto con “%1” %*”.
- Aprire una finestra MS-DOS e digitare il seguente comando, seguito
da INVIO
CD \WINDOWS\SYSTEM
- Digitare i comandi seguenti:
ATTRIB -S -H -R SCAM32.EXE
DEL SCAM32.EXE
Servono per cancellare il file eseguibile del virus;
- Digitare il comando:
CD C:\RECYCLED
- Digitare i comandi seguenti:
ATTRIB -S -H -R SIRC32.EXE
DEL SIRC32.EXE
Servono per cancellare il file eseguibile del virus;
- Digitare i comandI
CD \
EDIT AUTOEXEC.BAT
- Cancellare il testo seguente:
@win \recycled\Sirc32.exe
toglie l’esecuzione automatica del virus all’avvio del pc;
- Digitare i seguenti comandi:
CD C:\WINDOWS\SYSTEM
DEL RUNDLL32.EXE
REN RUN32.EXE RUNDLL32.EXE
Cancellano il file infetto e ripristinano il file originale di
Windows;
- Riavviare il PC.