======================================================================= Message du CERT-RENATER (certsvp@renater.fr) ======================================================================= Bonjour Le ver/virus W32/SirCam@MM, Worm@mm, (W32/SirCam@mm, Backdoor.SirCam) emerge en ce moment. Il nous a ete signale aujourd'hui par un site Renater, et plusieurs editeurs d'antivirus annoncent avoir recu plusieurs rapports d'infection. Il s'agit d'un ver Internet tres recent qui se repand au moyen de la messagerie electronique et de repertoires partages non proteges. Le sujet du message recu est aleatoire, et le corps du message se decline en plusieurs versions. On a pu observer les messages suivants: Hi! How are you? I send you this file in order to have your advice ou I hope you can help me with this file that I send ou I hope you like the file that I sendo you ou This is the file with the information that you ask for See you later. Thanks --- Le meme message en espagnol --- Hola como estas ? Te mando este archivo para que me des tu punto de vista ou Espero me puedas ayudar con el archivo que te mando ou Espero te guste este archivo que te mando ou Este es el archivo con la información que me pediste Nos vemos pronto, gracias. Le ver recherche les fichiers d'extension: .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, and .ZIP dans le repertoire "Mes Documents" et tente d'en envoyer des copies, ainsi qu'une copie de lui-meme, a tous les correspondants inscrits dans le carnet d'adresses Windows et aux adresses electroniques contenues dans le cache de la machine infectee. Le fichier attache est choisi e facon aleatoire mais il a une double extension du type .doc.com ou .mpg.pif Le ver se copie dans les fichiers: C:\RECYCLED\SirC32.exe SCam32.exe dans le repertoire Windows\System A priori plusieurs cles de registres sont aussi creees: HKCR\exefile\shell\open\command \Default="C:\recycled\SirC32.exe" "%1" %* HKLM\Software\Microsoft\Windows\CurrentVersion\ RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe HKLM\Software\Sircam Autre methode de propagation: les repertoires partages non proteges. S'il en trouve, le ver tente de se copier dans le repertoire Windows du systeme ouvert, dans un fichier nomme rundll32.exe. Le fichier original est renomme run32.exe. Si l'operation est couronnee de succes, le fichier autoexec.bat est modifie de facon a executer le code du ver, prealablement enregistre dans le repertoire C:\recycled. Pour plus d'informations, suivre les lien: http://vil.nai.com/vil/virusSummary.asp?virus_k=99141 http://www.sophos.com/virusinfo/analyses/w32sircama.html Cordialement, ========================================================= + CERT-RENATER | tel : 01-53-94-20-44 + + 151 bd de l'Hopital | fax : 01-53-94-20-41 + + 75013 Paris | email: certsvp@renater.fr + =========================================================