| N'ouvrez
jamais les emails non signés ou sans texte...
même s'ils semblent venir de qq1
que vous connaissez bien....
surtouts
les pieces jointes qui les accompagnent.
des
virus circulent....  soyez
vigilants.
notamment supprimez les
messages venant tout specialement de "babakoto" :babakoto@chello.fr
et supprimez cette adresse de vos carnets.
|
QUESTION
VIRUS
Information virus I-Worm-sircam
Information sur le virus
I-Worm.Sircam
Jeudi 19 Juillet 2001
Le virus Sircam est extrêmement
dangeureux et se répend via e-mail. Il se fait passer pour une pièce jointe
d'apparence anodine telle qu'un fichier Word, Excel ou ZIP simplement en
ajoutant l'extension ".doc", ".xls" ou ".zip" à
son propre nom.
ex : rapport.doc.bat
L'utilisateur ne voyant pas l'extension ".bat" pense alors avoir
affaire à un simple fichier ".doc" (Word), ne se méfie pas et exécute
le fichier. Le virus entre alors en action.
Une fois lancé, Sircam se copie automatiquement dans :
1) La corbeille de Windows sous le nom SirC32.exe
2) Le dossier system de Windows sous le nom SCam32.exe
3) Le dossier windows sous le nom ScMx32.exe
4) Le menu Démarrage sous le nom Microsoft Internet Office.exe
Tous ces fichiers sont cachés (le bien connu attribut "hidden" sous
DOS).
Les deux premiers fichiers sont inscrits dans la base de registres de manière
à être lancés automatiquement au démarrage de Windows ou lors de l'ouverture
d'un fichier.
On les retrouvera dans :
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Driver32 = %windows
system directory%\SCam32.exe
HKCR\exefile\shell\open\command SirC32.exe
Une fois ces opérations de copie effectuées, Sircam cherche dans le carnet
d'adresse d'autres personnes à infecter. Il parcourt également le dossier
contenant les fichiers temporaires d'Internet Explorer à la recherche
d'adresses e-mail figurant sur les pages visitées.
Sircam lance ensuite, comme si de rien n'était, le programme associé à
l'extension ajoutée :
Word ou Wordpad pour un ".doc", Excel pour un ".xls" ou
encore WinZip pour un ".zip".
En ce qui concerne le fichier joint à l'e-mail reçu, l'extension de fin peut
être ".bat", ".pif", ".com" ou ".lnk".
Toutefois le fichier initial (".doc", ".xls" ou
".zip") a réellement été pris sur l'ordinateur de la personne qui
vous a malencontreusement infecté, ce qui pose donc des problèmes de
confidentialité pour celle-ci.
Note concernant les ordinateurs reliés en réseau local :
Sircam parcourt le voisinage réseau à la recherche des disques partagés en écriture.
Si il y trouve une corbeille (ex : c:\recycled), il s'y duplique et ajoute son
lancement dans le fichier autoexec.bat si ce dernier est disponible. Si il
trouve un répertoire windows, il remplace l'incontournable rundll32.exe par une
copie de lui-même.
Des observations ont mis en évidence que Sircam pouvait, dans de très rares
cas toutefois, supprimer des fichiers dans le répertoire de Windows.
Message de la Comm'
(NewsLetter ARF du 2 septembre 2001)
Sommaire