torna all'home page
 
  Spazio Culturale
 
MANUALI

accesso diretto
 OFFICE
   access2000
   excel2000
   word2000
   backup
   virus
 TOOLS
   harddisk
   registry
   winzip
   dos
 WEB
   flash5
percorso:: _Home > _Manuali > _VIRUS > _Capitolo 05 > _Capitolo 03
 fine testo aumenta dimensioni testo diminuisci dimensioni testo informazioni indice manuale VIRUS indice capitolo 05
     Manuale VIRUS
05.03    APPROFONDIMENTI VIRUS PER VIRUS     
SIRCAM    
 aggiungi ai preferiti

DESCRIZIONE

Questo virus è stato creato con il linguaggio di programmazione Delphi, si tratta di un Worm che si propaga via posta elettronica utilizzando i comandi SMTP. Spedisce e-mail infette a tutti gli indirizzi dell’agenda personale, allegando un file con un nome sempre diverso. Inoltre, si diffonde sfruttando le cartelle condivise nelle reti di computer.

PROPAGAZIONE

Le e-mail infette arrivano con file allegati che hanno nomi contenenti una doppia estensione. I file sono scelti casualmente sfruttando la seguente chiave del registro di configurazione:
HKEY_CURRENT_USER - SOFTWARE\MICROSOFT – WINDOWS – CURRENTVERSION – EXPLORER - SHELL FOLDERS - PERSONAL
I possibili nomi per la seconda estensione sono .LNK, .EXE, .COM, .BAT e .PIF.
Le mail possono arrivare in lingua inglese o spagnola, l’oggetto è il nome del file allegato. Possibili messaggi sono riportati di seguito:

Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks

I hope you like the file that I sendo you
This is the file with the information that you ask for
I hope you can help me with this file that I send

Hola como estas ? Te mando este archivo para que me des tu punto de vista
Nos vemos pronto, gracias.

Este es el archivo con la informacion que me pediste
Espero te guste este archivo que te mando
Espero me puedas ayudar con el archivo que te mando

Quando viene eseguito il file allegato, contenente l’infezione, vengono creati i file SCAM32.EXE, nella directory di sistema (C:\WINDOWS\SYSTEM solitamente) e SIRC32.EXE, nella cartella C:\RECYCLED.
In seguito, insidia il registro di configurazione, aggiungendo le seguenti voci:

  • HKEY_LOCAL_MACHINE - SOFTWARE\MICROSOFT\WINDOWS – CURRENTVERSION - RUNSERVICESDRIVER32 = “%systemdir%\Scam32.exe”
  • HKEY_CLASSES_ROOT – EXEFILE – SHELL – OPEN – COMMAND = “”C:\Recycled\SirC32.exe” ”%1” %*
  • HKEY_LOCAL_MACHINE – SOFTWARE - SIRCAM

Cerca il file AUTOEXEC.BAT e aggiunge la riga @win\recyled\sirc32.exe.
Cerca il file RUNDLL32.EXE nella directory del sistema operativo (C:\WINDOWS) e cambia il nome in RUN32.EXE, poi copia se stesso nella stessa cartella, con il nome RUNDLL32.EXE.

ISTRUZIONI PER RIMUOVERE IL VIRUS

Riavviare il computer in modalità provvisoria;

  1. Aprire il comando START – ESEGUI e digitare REGEDIT.EXE, poi premere INVIO, si apre l’editor del registro di configurazione;
  2. Nella finestra sinistra aprire la voce
    HKEY_LOCAL_MACHINE – SOFTWARE – MICROSOFT – WINDOWS – CURRENTVERSION – RUNSERVICES;
  3. Nella finestra destra cercare e cancellare la chiave “Driver32;
  4. Nella finestra sinistra cancellare la voce
    HKEY_LOCAL_MACHINE – SOFTWARE – SIRCAM
  5. Nella finestra sinistra aprire la voce
    HKEY_CLASSES_ROOT – EXEFILE – SHELL – OPEN - COMMAND;
  6. Nella finestra destra selezionare il valore “Default”, fare un clic con il tasto destro e scegliere MODIFICA;
  7. Sostituire il contenuto con “%1” %*”.
  8. Aprire una finestra MS-DOS e digitare il seguente comando, seguito da INVIO
    CD \WINDOWS\SYSTEM
  9. Digitare i comandi seguenti:
    ATTRIB -S -H -R SCAM32.EXE
    DEL SCAM32.EXE
    Servono per cancellare il file eseguibile del virus;
  10. Digitare il comando:
    CD C:\RECYCLED
  11. Digitare i comandi seguenti:
    ATTRIB -S -H -R SIRC32.EXE
    DEL SIRC32.EXE
    Servono per cancellare il file eseguibile del virus;
  12. Digitare i comandI
    CD \
    EDIT AUTOEXEC.BAT
  13. Cancellare il testo seguente:
    @win \recycled\Sirc32.exe
    toglie l’esecuzione automatica del virus all’avvio del pc;
  14. Digitare i seguenti comandi:
    CD C:\WINDOWS\SYSTEM
    DEL RUNDLL32.EXE
    REN RUN32.EXE RUNDLL32.EXE
    Cancellano il file infetto e ripristinano il file originale di Windows;
  15. Riavviare il PC.

     Manuale VIRUS
05.03     APPROFONDIMENTI VIRUS PER VIRUS     
SIRCAM    
 
 inizio testo aumenta dimensioni testo diminuisci dimensioni testo informazioni indice manuale VIRUS indice capitolo 05
 
 
Pubblicità  
 
Applicazioni iPhone













Condizioni d'uso | Informativa Privacy e Cookie Policy | Crediti
Copyright©2005 tutti i contenuti sono proprietà esclusiva di ManualiPc.it

 
Manualipc - Via Don Bosco, 8/A - San Michele al Tagliamento - 30028 Venezia, Italy - P.I. 03687860266