Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-431

[MS/Generic] Wurm verbreitet sich über E-Mail Attachment und/oder Netzlaufwerkfreigaben
(2001-07-26 06:47:41+00)

Quelle: http://www.cert.org/current/current_activity.html#W32/SirCam

Ein Wurm mit dem Namen W32.SirCam wird über E-Mail Attachments (mit wechselndem Betreff und Attachment-Namen) und/oder Netzlaufwerkfreigaben verbreitet.

Betroffene Systeme

Einfallstor
E-Mail-Attachment bzw. Netzlaufwerkfreigaben

Auswirkung

Typ der Verwundbarkeit
Virus (Email-Wurm)

Gefahrenpotential
hoch (durch Störung der Netzwerkinfrastruktur sowie massiver Schädigung des Dateisystems)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Es werden verstärkt Vireninfektionen durch den sogenannten W32.SirCam Wurm gemeldet. Der Wurm wird über E-Mail Attachments mit wechselndem Namen (sowohl des Attachments als auch des Betreffs der E-Mail) sowie über Netzlaufwerkfreigaben verbreitet.
Der Wurm lässt sich Anhand folgender Merkmale feststellen:

zwischen der ersten und der letzten Zeile der E-Mail befindet sich beliebiger Text.

Das Attachment (mit variablem Namen) macht sich die standardmässige Ausblendung bekannter Dateinamenerweiterungen von Microsoft zu nutze. So tarnt sich der Virus beispielsweise als Anlage2.doc, da die letzte bekannte Endung (beispielsweise .lnk) ausgeblendet wird.
Der Wurm wird nicht selbständig ausgeführt. Nur durch Doppelklick des Attachments wird der Virus ausgeführt/installiert.

Der Wurm kopiert sich nach der Aktivierung auf das lokale Dateisystem und trägt sich in die Registrierung ein.
So werden folgenden Registrierungswerte eingerichtet:
HKCR\exefile\shell\open\command\Default="C:\recycled\SirC32.exe" "%1" %*
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe
HKLM\Software\SirCam

Der Virus kopiert sich in folgende Dateisystembereiche:
C:\RECYCLED\SirC32.exe sowie in das Windows Systemverzeichnis unter dem Namen SCame32.exe
Bei einer Vireninfektion über Netzlaufwerke findet eine Infektion der rundll32.exe und der autoexec.bat statt.

Der Wurm versendet bei der Verbreitung mittels E-Mail-Attachments möglicherweise sensitive Dateien, da beliebige Dateien aus "Eigene Dateien" der E-Mail beigefügt werden.

Verbreitung
Der Wurm beinhaltet einen eigenen SMTP-Server und verbreitet sich darüber an alle E-Mail Adressinformationen die der Wurm vorfindet. Desweiteren verbreitet sich der Wurm über offene Netzwerkfreigaben, wobei dann die windows\rundll32.exe ersetzt wird und ein weiterer Eintrag der Gestalt @win \recycled\sirc32.exe in der autoexec.bat vorgenommen wird.

Bekannte Aliases
Laut Symantec sind folgende Aliases bekannt:

Gegenmaßnahmen
Installieren sie die aktuellen Anti-Virus-Updates.

Die Universität Stuttgart besitzt eine Campuslizenz für den McAfee Virenscanner, der in der aktuellen Version diesen Virus zuverlässig erkennt und entfernt. Näheres hierzu erfahren Sie unter

Eine Beseitigung der Vireninfektion kann mittels des Symantec W32.Sircam.Worm@mm removal tool (nicht getestet) oder manuell erfolgen. Eine Anleitung zur manuellen Entfernung finden Sie beispielsweise bei Symantec.

Generelle Empfehlung (Wh)

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=431