SirCam (ili „W32.Sircam“) ime je novog crva, otkrivenog 17. jula. Tada su ga antivirusne kompanije ocenile srednje rizičnim. Nekoliko dana kasnije, veliki broj slučajeva infekcije i upoznavanje osobina ovog virusa, svrstale su ga u grupu visoko rizičnih. Prema rečima eksperata za zaštitu, na njemu je najverovatnije radila grupa hakera, izuzetno veštih programera.
SirCam stiže u obliku fajla, „prikačenog“ uz e-mail poruku. Subjekt poruke je slučajno izabran, a unutar nje se nalazi tekst koji uvek započinje rečenicom „Hi! How are you?“, a završava se sa „See you later. Thanks“. Između ovih rečenica se uvek nalazi još jedna, slučajno izabrana – za sada su otkrivene tri verzije. Postoji verzija poruke na španskom, za koju važe ista pravila.
Pošto se attachment otvori, „useljava“ se u C:RECYCLED folder, a zatim se crv kopira u folder C:RECYCLEDSirC32.exe. Već poznatom tehnikom, crv se umnožava i šalje na adrese iz adresara Outlook-a, pri čemu je attachment slučajno izabran fajl sa zaraženog kompjutera, „obogaćen“ virusom. Može se prepoznati po duploj ekstenziji, pri čemu je broj kombinacija originalne i dodate ekstenzije, praktično, neiscrpan.
Pored ovih mogućnosti, crv ume da pronađe „prolaze“ ako se nalazi u lokalnoj mreži, i da zarazi i ostale povezane kompjutere. Masovnim slanjem, izaziva zagušenja i opterećuje servere, ali može i da izazove mnogo veću štetu, zavisno od podešavanja operativnog sistema zaražene mašine. Ova osobina ga čini posebnim i predstavlja novinu na polju „crv tehnologija“. Jedan od primera: ako zaraženi PC koristi evropski format za datume (dan/mesec/godina), postoji velika verovatnoća da će SirCam 16. oktobra izbrisati sve fajlove i foldere sa hard diska.
Još jedna specifičnost se ogleda u osobini da crv ne otkriva samo adrese iz adresara, već i one u C:WINDOWSTemporary Internet Files folderu, gde se nalaze privremeno pohranjene stranice koje su posećene tokom surfovanja. Na taj način, broj poslatih mejlova koji sadrže virus mnogo je veći, i zaraza se širi brže.
Detaljnija objašnjenja:
Pratite Krstaricu na www.krstarica.com