U trendu

Virus SirCam – infekcija i dezinfekcija

Krstarica

S obzirom na činjenicu da virus SirCam „hara“ Internetom, ponovo upozoravamo korisnike Mreže na njegove osobine, način inficiranja i moguće načine izlečenja. Na domaćem „terenu“ je zabeležen veliki broj infekcija, pri čemu se dalje progresivno širenje odvija vrlo brzo.

SirCam pripada kategoriji crva, zbog osobine da se sam „razmnožava“ i šalje na sve adrese koje pronađe u adresaru email-klijenta. Njegovo širenje je potpomognuto i otkrivanjem adresa na stranicama pohranjenim u Temporary Internet Files folderu, pa je broj poslatih mejlova višestruko veći nego kod ranijih primera crva, koji ovu mogućnost nisu imali. Pored navedenog, SirCam se širi i po lokalnim mrežama, gdegod postoje lokalni drajvovi sa punim pristupom. S obzirom na ovakve osobine, virus je visoko rizičan i treba preduzeti sve mere opreza.

SirCam stiže u obliku fajla prikačenog za email-poruku. Sam virus ima oko 130 Kb, ali je fajl veći, s obzirom da virus na sebe dodaje .doc, .xls, .zip ili .exe fajlove, koje pronalazi na hard-disku zaraženog računara. Zbog toga i fajl ima dvostruku ekstenziju: ime je ime fajla sa zaraženog kompjutera, prva ekstenzija pripada takođe tom fajlu, a druga se bira nasumično i može da se pojavi u .pif, .bat, .lnk i .com obliku. S obzirom na kopiranje fajlova sa zaraženog diska, postoji opasnost od otkrivanja poverljivih fajlova svima onima koji će fajl otvoriti i zaraziti se virusom.

U subjektu poruke uvek stoji ime prekopiranog fajla, a u telu poruke je tekst koji započinje rečenicom „Hi! How are you?“, a završava se sa „See you later. Thanks“. Između ove dve rečenice se uvek nalazi još jedna koja može da glasi: „I hope you can help me with this file that I send“ ili „I hope you like the file that I send to you“ ili „This is the file with the information that you ask for“ ili „I send you this file in order to have your advice“.

Email-poruka se pojavljuje i u španskoj verziji gde prva i poslednja rečenica glase „Hola como estas?“, odnosno „Nos vemos pronto, gracias“, a između njih se nalazi neka od sledećih: „Te mando este archivo para que me des tu punto de vista“ ili „Espero me puedas ayudar con el archivo que te mando“ ili „Espero te guste este archivo que te mando“ ili „Este es el archivo con la informaciun que me pediste“.

Efikasna i potpuna zaštita podrazumeva brisanje poruke, naravno bez otvaranja prikačenog fajla. Ako to korisnik ipak uradi, crv se kopira u nekoliko foldera:
1. RECYCLED folder na Windows drajvu, pod imenom SirC32.exe (primer: C:RECYCLEDSirC32.exe)
2. Windows sistemski direktorijum pod imenom SCam32.exe
3. Windows direktorijum pod imenom ScMx32.exe
4. Windows start-up direktorijum pod imenom MicrosoftInternetOffice.exe

Skenirajući zaraženi sistem, crv dolazi do email-adresa, na koje se šalje prema već opisanim pravilima. Ako se zaraženi kompjuter nalazi u lokalnoj mreži, SirCam pronalazi sve deljene resurse i kopira se u njih. Pored toga što izaziva „zagušenja“ slanjem velikog broja mejlova, i što može da otkrije poverljive podatke, ovaj crv može i da napravi veliku štetu, zavisno od podešavanja operativnog sistema zaraženog kompjutera. Ako zaraženi PC koristi evropski format datuma (dan/mesec/godina), sa 5% verovatnoće će obrisati kompletni Windows direktorijum.

Ako ste zaraženi, ili sumnjate u takvu mogućnost, naša je preporuke skidanje malog programčića, veličine svega 20K, koji besplatno nudi firma Kaspersky Lab. Program radi potpuno nezavisno (nije potrebno imati instaliran antivirusni softver), i u potpunosti čisti virus i briše sve njegove tragove (uključujući i one u Registry bazi). Možete ga skinuti ako kliknete ovde.

Pratite Krstaricu i preko mobilne aplikacije za Android i iPhone.