======================================================================= Message du CERT-RENATER (certsvp@renater.fr) ======================================================================= Bonjour Le ver Sircam, sujet de l'alerte 009 semble se repandre assez rapidement dans le monde. Bref rapel: Les mode de propagation du ver/virus sont: - la messagerie electronique - les repertoires partages non proteges Dans le cas de la messagerie electronique, le message infecte contient un fichier attache dont le nom possede une double extension (.doc.com, .com.exe, par exemple). Toujours se mefier de ce type de fichier. Plusieurs cas nous ont ete signales dans la communaute Renater. La probabilite que beaucoup de clients Renater en recoivent est donc non negligeable. Nous avons donc juge necessaire de reemettre cette alerte. La menace est categorisee comme haute chez les editeurs d'antivirus. Il est important de diffuser ce message a vos utilisateurs pour tenter d'enrayer le mecanisme de propagation. liens utiles: ------------ http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=010718-000010 http://vil.nai.com/vil/virusSummary.asp?virus_k=99141 http://www.sophos.com/virusinfo/analyses/w32sircama.html Alerte CERT-Renater : 2001/ALER009: ----------------------------------- Bonjour Le ver/virus W32/SirCam@MM, Worm@mm, (W32/SirCam@mm, Backdoor.SirCam) emerge en ce moment. Il nous a ete signale aujourd'hui par un site Renater, et plusieurs editeurs d'antivirus annoncent avoir recu plusieurs rapports d'infection. Il s'agit d'un ver Internet tres recent qui se repand au moyen de la messagerie electronique et de repertoires partages non proteges. Le sujet du message recu est aleatoire, et le corps du message se decline en plusieurs versions. On a pu observer les messages suivants: Hi! How are you? I send you this file in order to have your advice ou I hope you can help me with this file that I send ou I hope you like the file that I sendo you ou This is the file with the information that you ask for See you later. Thanks --- Le meme message en espagnol --- Hola como estas ? Te mando este archivo para que me des tu punto de vista ou Espero me puedas ayudar con el archivo que te mando ou Espero te guste este archivo que te mando ou Este es el archivo con la información que me pediste Nos vemos pronto, gracias. Le ver recherche les fichiers d'extension: .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, and .ZIP dans le repertoire "Mes Documents" et tente d'en envoyer des copies, ainsi qu'une copie de lui-meme, a tous les correspondants inscrits dans le carnet d'adresses Windows et aux adresses electroniques contenues dans le cache de la machine infectee. Le fichier attache est choisi e facon aleatoire mais il a une double extension du type .doc.com ou .mpg.pif Le ver se copie dans les fichiers: C:\RECYCLED\SirC32.exe SCam32.exe dans le repertoire Windows\System A priori plusieurs cles de registres sont aussi creees: HKCR\exefile\shell\open\command \Default="C:\recycled\SirC32.exe" "%1" %* HKLM\Software\Microsoft\Windows\CurrentVersion\ RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe HKLM\Software\Sircam Autre methode de propagation: les repertoires partages non proteges. S'il en trouve, le ver tente de se copier dans le repertoire Windows du systeme ouvert, dans un fichier nomme rundll32.exe. Le fichier original est renomme run32.exe. Si l'operation est couronnee de succes, le fichier autoexec.bat est modifie de facon a executer le code du ver, prealablement enregistre dans le repertoire C:\recycled. Pour plus d'informations, suivre les lien: http://vil.nai.com/vil/virusSummary.asp?virus_k=99141 http://www.sophos.com/virusinfo/analyses/w32sircama.html Cordialement, ========================================================= + CERT-RENATER | tel : 01-53-94-20-44 + + 151 bd de l'Hopital | fax : 01-53-94-20-41 + + 75013 Paris | email: certsvp@renater.fr + =========================================================