TROJ_SIRCAM.A

TROJ_SIRCAM.A

Đây là một loại sâu trên mạng được viết bởi ngôn ngữ lập trình Delphi có cơ chế lây lan thông qua email sử dụng những lệnh SMTP. Nó sẽ gửi chính nó đến tất cả những danh sách địa chỉ email mà nó tìm thấy trong address book và cả trong phần cache của temporary internet.

TROJ_SIRCAM.A khi gửi đính kèm theo email sẽ có phần tên mở rộng là FNAME.EX1.EX2 với phần FNAME.EX1 là một tập tin ngẩu nhiên từ một thư mục của máy tính bị nhiểm và được chuyển đến mục KCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Personal

Phần EX2 có thể là .LNK, .EXE hoặc là .PIF. Email có loại sâu này được gửi đi với nội dung tiếng Anh hoặc tiếng Tây Ban Nha với nội dung là :
Subject:(tên của tập tin đính kèm)
Message Body:
ENGLISH:
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks

SPANISH:
Hola como estas ? Te mando este archivo para que me des tu punto de vista
Nos vemos pronto, gracias.
Attachment:(FNAME.EX1.EX2)

Tại dòng thứ hai của nội dung email có thể được thay thế là :
ENGLISH:
I hope you like the file that I sendo you
This is the file with the information that you ask for
I hope you can help me with this file that I send

SPANISH:
Este es el archivo con la informacion que me pediste
Espero te guste este archivo que te mando
Espero me puedas ayudar con el archivo que te mando

Tập tin đính kèm là một bản sao của TROJ_SIRCAM.A được nối với một tập tin được chọn ngẫu nhiên trên máy tính bị nhiễm. Khi mở tập tin này, nó sẽ chép bản thân của TROJ_SIRCAM.A vào trong máy tính dưới dạng tập tin ẩn. Tập tin được chép vào có tên là SCAM32.EXE trong thư mục System của máy và tập tin SIRC32.EXE được chép vào thư mục Recycled của máy tính.
Loại sâu này sẽ thêm vào mục HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesDriver32=_ %systemdir%\Scam32.exe để chúng có thể thực thi mỗi lần khởi động Windows.

Tiếp theo sẽ thêm vào mục HKCR\exefile\shell\open\command=C:\Recycled\SirC32.exe %1 %* để được thực thi mỗi lần tập tin .exe được chạy.

Và bản thân con sâu này sẽ tạo ra cho chính nó một mục là HKLM\Software\SirCam để lưu giữ những dữ liệu của nó trong registry.

Để che dấu những hành vi của mình, nó sẽ nối thêm những tập tin chính vào thư mục Temp và Recycled, rồi mở nó ra với những chương trình mặc định có liên quan như Word, Excel, WinZip,& TROJ_SIRCAM.A sẽ tìm kiếm những tập tin có chứa những địa chỉ email như .WAB và HTM, và gửi email đến những địa chỉ email tìm được. Những tập tin được thêm vào với những phần mở rộng là .DOC, XLS, ZIP sẽ được lưu giữ tại mục HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Personal

Nó sẽ lưu đường dẫn và tên tập tin đã lây nhiểm vào tập tin SCD.DLL và những địa chỉ email tìm thấy sẽ được tập hợp lại và lưu thành những tập tin có phần tên được lưu dưới dạng SC??.DLL. Những tập tin này đều được đặt thuộc tính ẩn và lưu tại thư mục System của máy tính.

Những địa chỉ email mà nó tìm thấy sẽ được đếm xem là bao nhiêu và con số này sẽ được lưu vào trong Registry.

Để tiếp tục lây nhiễm, nó sẽ kết nối đến server để gửi những email lây nhiểm. Nếu như việc kết nối không thành công, nó sẽ cố gắng để kết nối đến 3 server mail khác mà những địa chỉ đã được lưu trữ trong bản thân của nó và được lấy ra một cách ngẫu nhiên. Nếu như kết nối thành công, nó sẽ sử dụng những dòng lệnh của SMTP để tạo và gửi email đi qua Internet.

Để lây nhiểm qua những ổ đĩa được share, nó sẽ liệt kê tất cả những kết nối. Nếu tìm thấy một thư mục cấp quyền được write thì sẽ sao chép chính nó với tập tin SIRC32.exe đến thư mục Recycled. Nếu như tìm thấy tập tin Autoexcec.bat thì tập tin này sẽ được thêm vào dòng lệnh là @win\recyled\sirc32.exe.

Nó sẽ tìm những thư mục được share cho thư mục Windows rồi sao chép tập tin RUNDLL32.EXE thành RUN32.EXE và bản thân của nó sẽ thành tập tin RUNDLL32.EXE

Khi máy tính bị nhiễm thông qua mạng như vậy, nó chỉ có thể được kích hoạt khi máy tính đó khởi động lại.

Thỉnh thoảng, nó chép chính nó thành một tập tin khác không phải là những tập tin SIRC32.EXE, SCAM32.EXE hoặc RUNDLL32.EXE. Khi thực thi, sẽ xóa tất cả những tập tin và thư mục có trên máy tính

Cách giải quyết khi bị lây nhiễm :

Thực hiện các bước như sau :
* Ngắt kết nối mạng

* Chạy tập tin REGEDIT.EXE. i đến mục có tên là HKEY_CLASSES_ROOT\exefile\shell\open\command .Trong cửa sổ bên phải bấm đúp chuột và mục Default và xóa nội dung C:\Recycled\SirC32.exe leaving only _ %1 %* ra khỏi mục này.

* Đi đến mục có tên là HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices trên cửa sổ bên phải xóa mục Driver32

* Đi đến mục HKEY_LOCAL_MACHINE\Software\Sircam và xóa mục SirCam

* Mở cửa sổ MSDOC Prompt và vào thư mục Windows\System nếu là sử sụng windows 9x hoặc và thư mục Winnt\system32 nếu sử dụng Windows NT/2000

* Gõ lệnh ATTRIB - S - H - R SCAM32.EXE rồi nhấn Enter để thực thi

* Gõ tiếp lệnh DEL SCAM32.EXE và nhấn Enter để thực thi

* Tương tự bạn vào thư mục C:\Recycled và thực thi 2 lệnh như trên

* Vào thư mục Windows tìm tập tin RUN32.EXE và xóa tập tin RUNDLL32.EXE và đổi tên tập tin RUN32.EXE thành RUNDLL32.EXE

* Mở tập tin Autoexec.bat ra và xóa dòng lệnh @win \recycled\Sirc32.exe

* Cuối cùng khởi động lại máy tính.

PcLeHoan 1996 - 2002
Mirror : http://www.pclehoan.com
Mirror : http://www.lehoanpc.net
Mirror : http://www.ktlehoan.com