Ein Wurm mit dem Namen W32.SirCam wird über E-Mail Attachments (mit wechselndem Betreff und Attachment-Namen) und/oder Netzlaufwerkfreigaben verbreitet.

Betroffene Systeme

• Microsoft Windows

Einfallstor
E-Mail-Attachment bzw. Netzlaufwerkfreigaben

Auswirkung

• Falls das Attachment eine bestimmte Zeichenfolge enthält werden die Daten der Festplatte C: gelöscht
• Mit einer Wahrscheinlichkeit von 1:20 wird der Inhalt der Festplatte C: am 16. Oktober gelöscht
• Mit einer Wahrscheinlichkeit von 1:33 wird der freie Speicherplatz auf der Festplatte aufgefüllt (unter dem Namen c:\recycled\sircam.sys)
• Verbreitung sensitiver Information, da der Wurm Inhalte aus "Eigene Dokumente" versendet
• Weiterverbreitung über E-Mail
• Möglicherweise wird der Inhalt der Festplatte durch Interaktion mit weiterer Software gelöscht

Typ der Verwundbarkeit
Virus (Email-Wurm)

Gefahrenpotential
hoch (durch Störung der Netzwerkinfrastruktur sowie massiver Schädigung des Dateisystems)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Es werden verstärkt Vireninfektionen durch den sogenannten W32.SirCam Wurm gemeldet. Der Wurm wird über E-Mail Attachments mit wechselndem Namen (sowohl des Attachments als auch des Betreffs der E-Mail) sowie über Netzlaufwerkfreigaben verbreitet.
Der Wurm lässt sich Anhand folgender Merkmale feststellen:

• Die erste Zeile der E-Mail lautet:
  Hi! How are you? (für die engl. Version) bzw.
  Hola como estas? (für die spanische Version)
• Letzte Zeile der E-Mail:
  See you later. Thanks (für die engl. Version)
  Nos vemos pronto, gracias (für die spanische Version)

Das Attachment (mit variablem Namen) macht sich die standardmässige Ausblendung bekannter Dateinamenerweiterungen von Microsoft zu nutze. So tarnt sich der Virus beispielsweise als Anlage2.doc, da die letzte bekannte Endung (beispielsweise .lnk) ausgeblendet wird.
Der Wurm wird nicht selbständig ausgeführt. Nur durch Doppelklick des Attachments wird der Virus ausgeführt/installiert.

Der Wurm kopiert sich nach der Aktivierung auf das lokale Dateisystem und trägt sich in die Registrierung ein.
So werden folgenden Registrierungswerte eingerichtet:
HKCR\exefile\shell\open\command\Default="C:\recycled\SirC32.exe" "%1" %*
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe
HKLM\Software\SirCam

Der Virus kopiert sich in folgende Dateisystembereiche:
C:\RECYCLED\SirC32.exe sowie in das Windows Systemverzeichnis unter dem Namen SCame32.exe
Bei einer Vireninfektion über Netzlaufwerke findet eine Infektion der rundll32.exe und der autoexec.bat statt.

Der Wurm versendet bei der Verbreitung mittels E-Mail-Attachments möglicherweise sensitive Dateien, da beliebige Dateien aus "Eigene Dateien" der E-Mail beigefügt werden.

Verbreitung
Der Wurm beinhaltet einen eigenen SMTP-Server und verbreitet sich darüber an alle E-Mail Adressinformationen die der Wurm vorfindet. Desweiteren verbreitet sich der Wurm über offene Netzwerkfreigaben, wobei dann die windows\rundll32.exe ersetzt wird und ein weiterer Eintrag der Gestalt @win \recycled\sirc32.exe in der autoexec.bat vorgenommen wird.

Bekannte Aliases
Laut Symantec sind folgende Aliases bekannt:

• W32.Sircam.Worm@mm
• W32/SirCam@mm
• Backdoor.SirCam

Gegenmaßnahmen
Installieren sie die aktuellen Anti-Virus-Updates.

Die Universität Stuttgart besitzt eine Campuslizenz für den McAfee Virenscanner, der in der aktuellen Version diesen Virus zuverlässig erkennt und entfernt. Näheres hierzu erfahren Sie unter

• http://wb.rus.uni-stuttgart.de/viren/ (Zugriff nur für Mitglieder der Universität Stuttgart)
• McAfee DAT 4149

• Führen Sie keinerlei Attachments aus, die sie per Email erhalten haben, egal woher! Auch Hinweise in den Nachrichten, wie 'Virus Checked' oder Ähnliches, bieten keinerlei Schutz vor Viren, Würmern und trojanischen Pferden. Der beste Schutz ist nach wie vor ein gesundes Mißtrauen des Benutzers.
• Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie automatisierte Update-Dienste in Anpruch, wenn möglich.

Weitere Information zu diesem Thema

• McAfee W32/SirCam@MM Summary
• Symantec W32.Sircam.Worm@mm

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/