3.03 - Analisis Del Virus SirCam [Worm]
INDICE
- INICIATIVA: Que me llevo a escribir este articulo y a realizar la investigacion
- ANALISIS: Perfil del tema a desarrollar.
- DETALLES DE ANALISIS: Con que se realizo el analisis.
- HISTORIA: Historia de SirCam
- INTRODUCCION
- FICHA TECNICA
- COMO TRABAJA
- DETALLES DE EJECUCION E INFECCION
- ANALIZANDO EL VIRUS
- NOTICIAS
- ERRADICACION Y VACUNA
- INCONGRUENCIAS Y COSAS RARAS
- OPINION PERSONAL
INICIATIVA
Estaba viendo la Tv cuando de pronto en hechos... [programa noticioso de Tv azteca] dijeron nuevo virus.. SirCam creado por un mexicano de morelia, hace estregos en mexico. Dije orale un paisano.... No le di importancia.
Recivi multiples advertencias de listas de correo de internet... No le di impotancia.
Estaba en IRC y me dijeron que investigara y me di a la tarea de hacerlo.
Aqui esta mi investigación.
ANALISIS
Nombre: Sircam
Tipo: Gusano/Worm
Pais de procedencia: Latinoamerica, Brasil Posiblemente, tal vez México
Lenguaje: Delphi, Ensamblador o C.
Plataforma: Microsoft Windows 9.x 2000, etc [Para variar]
Creador: Desconocido
Aparicion: Lunes 16 de julio o Martes 17 de julio.
Herramientas utilizadas para su creacion: Aparentemente TERROS SIGMA DATASERV DELPHI COMPILER [BRASIL] ENCRIPTADO CON EL MISMO PARA SU SACADO DE CODIGO BASE UTILIZACION DE UN SISTEMA DE LOGS DENTRO DEL SOFT. ALGUNAS INCONGRUENCIAS CON DELPHI POR ESO MANEJO OTROS PROSIBLES LENGUAJES.
Posibles Fines de Creacion: JODER, MOLESTAR, ATAREAR, COLAPSAR SERVIDORES DE CORREO OBSTRUIR MAQUINAS INFECTADAS EN POCAS PALABRAS CASTRAR A LOS USUARIOS DE INET.
REPLICACION: MEDIANTE SMTP, LISTA DE CORREOS.
Source:
Return-Path: <Egastorres@netpar.com.br>Delivered-To: webmaster@****.netReceived: (qmail 9096 invoked by uid 0); 25 Jul 2001 15:03:06 -0000Received: from unknown (HELO pr.gov.br) (unknown) by unknown with SMTP; 25 Jul 2001 15:03:06 -0000Received: from egas.pr.gov.br (internet.pr.gov.br [200.238.136.38])by pr.gov.br (8.9.3 (PHNE_18546)/8.9.3) with SMTP id LAA11796for <webmaster@****.net>; Wed, 25 Jul 2001 11:59:46 -0300 (SAT)Message-Id: <200107251459.LAA11796@pr.gov.br>From: "Egas Campolim Hutten Torres"<Egastorres@netpar.com.br>To: webmaster@****.netSubject: TErrosdate: Wed, 25 Jul 2001 11:59:40 -0300MIME-Version: 1.0X-MIMEOLE: Produced By Microsoft MimeOLE V5.50.4133.2400X-Mailer: Microsoft Outlook Express 5.50.4133.2400Content-Type: multipart/mixed; boundary="----0362A696_Outlook_Express_message_bo
undary"
Content-Disposition: Multipart message
-[Detalles de ANALISIS]
Maquina en la que se analizo: Pentium 233mhz MMX
Sistema Operativo: FreeBSD 4.2-RELEASE
Programas para su analisis: Hexa Editor, Asambler, Debug
Greetz:
- Gupo-Por enviarme el Virus y el correo
- Java-Por insitarme a hacer esta investigación
- A todo mi equipo de desarrolladores e Investigadores de AcidKlan. www.acidklan.org
- www.vernomland.com - el parche/vacuna
- www.lacompu.com - Las Noticias
HISTORIA
Sircam fue creado anteriormente como un virus para las maquinas MAC II, este virus anteriormente ponia un mensaje en pantalla cada 50 veces que se prendia la computadora. Creado por ahi de los años 80 fue un simple chiste creado por un niño de 14 años. Este es considerado el primer virus para una computadora conocido.
INTRODUCCION
Todos hoy en dia sabemos lo devastadores que pueden llegar a ser los virus uno nuevo hizo su arribo a la red... Su nombre... SIRCAM, las compañias de antivirus y medios de seguridad lo llaman:
PANDA SOFTWARE..... W32/SirCam
SYMANTEC........... W32.Sircam.Worm@mm
SOPHOS............. W32/Sircam-A
F-SECURE........... Sircam
NAi................ W32/SirCam@MM
Veamos una ficha tecnica de el virus.
FICHA TECNICA
El arribo de Sircam o de sus primeras apariciones se dieron el 17 de julio, este comenzo a tomar su forma de gusano al distribuirse masivamente como muchos virus de su clase. Los gusanos que tienen el fin de afectar hoy en dia no solo a usuarios sino a administradores de servidores de correo, y en general.
COMO TRABAJA
Sircam toma una forma amigable se presenta con la frase hola... Como estas? y nos Vemos Pronto Gracias... como primera y ultima linea del cuerpo del mensaje.
El correo pide que puebes un programa para que le digas que te parece.....
El mensaje que se autoenvia se compone de la siguiente forma:
-------------------------------------------------------------------
| Asunto: [El archivo que contiene el virus sin extencion] |
-------------------------------------------------------------------
| Cuerpo: |
| Primera Linea: "Hola como estas?" |
| El programa cueta con lineas variables en diferentes idiomas |
| como las siguientes: |
| "Te mando este archivo para que me des tu punto de vista... |
| "Espero me puedas ayudar con el archivo que te envio" |
| "Espero que te guste el archivo que te envio" |
| "Este es el archivo con la informacion que me solicitaste" |
| Ultima Linea: "Nos vemos Pronto, gracias." |
-------------------------------------------------------------------
| Atachment: Archivo con doble extension o cpon extension sencilla|
-------------------------------------------------------------------
!!!!!Como repito todo esto puede darse en difereNtes idiomas!!!!!
El gusano pretende ser un mail amigable, un archivo util, algo que nos va a servir, pero es todo lo contrario... El atachment como dije puede contener dos extensiones entre las que estan:
- .GIF,
- .JPG,
- .JPEG,
- .MPEG,
- .MOV,
- .MPG,
- .PDF,
- .PNG,
- .PS,
- .ZIP,
- .FLA,
- .SWF,
- .HTML,
- .HTM,
- .XML,
- .etc.
Mas tarde viene la segunda extensión que puede ser:
- .EXE,
- .COM,
- .BAT,
- .LNK o
- .PIF
En la configuracion de windows la segunda extension no se ve, lo que a muchos usuarios los engaña y deciden ejecutarlo para ver el "programa amigable"
DETALLES DE EJECUCION E INFECCION
Ahora analizemos que hace el virus:
El usuario abre el programa, en un background de procesos vemos como se copia en la papelera de reciclaje o basurero, como x:\RECYCLED\SirC.exe, otra vez el gusano se refugio en una vulnerabilidad de windows, ya que esta carpeta esta oculta. Mas tarde el gusano añade una entrada en registro, con esto el gusano ahora se ejecutara cada vcez que un archivo ejecutable es accionado:
HKEY_LOCAL_MACHINE\exefile\shell\open\command\
Defaul="C:\recycled\SirC32.exe" "%1" %"
HKEY_LOCAL_MACHINE\Software\SirCam
Con los siguientes valores:
- FB1B - El nombre del gusano que estara en la papelera.
- FB1BA - La direccion del SMTP
- FB1BB - La direccion de correo del que manda
- FC0 - Número de veces que se a ejecutado el virus
- FC1 - La version del Gusano
- FD1 - El nombre del gusano sin su extensión.
Ahora Sircam comienza su fase destructiva, crea una lista de archivos de la carpeta de documentos, cuyas extensiones sean: *.gif, *.jpg, *.jpeg, *.mpeg, *.pdf, *.png, *.ps, *.zip. El archivo que contendra dicha lista se llama SCx.DLL y se depositara en Windows\System, Ahora Sircam bajo SCxx.DLL, crea una lista de las direcciones de correo electronico de la lista de contactos o de la lista de direcciones de windows y en la carpeta de archivos temporales de internet.
[x|x puede variar el nombre de acompletamiento del archivo]
[para los que no saben ni un carajo de matematicas x tal que x ok :)]
Existen especies de clones generadas por el mismo virus, esta se da cuando el archivo que esta en attachment contiene "FS2" e no es eguido de "sc".
Cuando esta version ataca todos los archivos de c: cuando sea 16 de Octubre serán borrados, así SirCam actua como una bomba logica también.
Ahora se comenzara a comportar como gusano......
Comienza la subrutina para comportarse como Worm con un SMTP para autoenviarse a las direcciones que almaceno en SCxx.DLL, añadiendo una segunda extension, de esta manera parecera distinto cada vez que se envie.
Tambien tomará una rutina para enviarse a todo el hostname como lo vemos en el source que envio el .gov.br, ademas trae una subrutina preestablecida de reenvio y aparición de un sedmail mexicano "prodigy.net.mx".
ANALIZANDO EL VIRUS
Vision Hexadecimal -
1
00000050 5468 6973 2070 726f 6772 616d 206d 7573
00000060 7420 6265 2072 756e 2075 6e64 6572 2057
00000070 696e 3332 0d0a 2437 0000 0000 0000 0000
Que nos dice esto?
Que este programa solo pora correr en windows 32.
Sigamos analizando
2
00000100 5045 0000 4c01 0800 195e 422a 0000 0000
00000101 0000 0000 e000 8e81 0b01 0219 00a8 0100
00000120 006c 0000 0000 0000 a4a9 0100 0010 0000
Origen
3
000001F0 0000 0000 0000 0000 434f 4445 0000 0000
Inicia la Fase de Codigo
4
00000400 - 00005640
Se detalla las intrusiones en memoria y procesos ocultos como se escribira el registro, como se buscaran los archivos y demas variables.
5
00005650 0000 0945 7863 6570 7469 6f6e a862 4000
Se detalla una excepcion
6
00005760 0b45 496e 4f75 7445 7272 6f72 b863 4000
Entradas en memoria
7
00005760 - 00007970
Inclusiones, Exclusiones, runlevels, error-runlevels
8
000079a0 0008 0900 0000 0001 0aa6 8b40 00e9 8540
Y sigue la yunta andando...... xD
9
000079a0 0008 xxxx xxxx xxxx xxxx xxxx xxxx xxxx -
000096c0 0c00 0000 8bc3 e86d eaff ffa2 ece5 4100
Codigo Desconocido, o escondido por compilador
10
00009700 3000 0000 ffff ffff 0600 0000 6d2f 642d -
00009780 0300 0000 3a6d 6d00 ffff ffff 0600 0000
Fijado de relog al CTCM
11
00009890 28C1 4100 5bc3 0000 6b65 726e 656c 3332
Entrada del software a KERNEL32.dll y obtencion de espacio libre en disco
12
00009890 - 0000fb50
Entradas de memoria
13
0000fb60 fb4b 0000 ffff ffff 1700 0000 496e 7465
0000fb70 7272 7570 7465 6420 7379 7374 656D 2063
0000Fb80 616c 6c00 ffff ffff 0f00 0000 4261 6420
0000fb90 6669 6c65 206e 756d 6265 7200 ffff ffff
etc etc etc hasta
0000dbe0 6d65 6e74 0000 0000 ffff ffff 1300 0000
14
Detalles de operatura y delimitacion del archivo a copiar y a replicar
0000fc70 ffff ffff 1d00 0000 536f 636b 6574 206f -
00010270 0e41 0064 ff30 6489 20ff 055c e641 0033
Delimitacion de el sistema de automandado a la lista de correos Utilizacion de la red
Aspectos de entrada a la red y runlevels fake runlevels
Parte principal que hace que el virus actue como gusano
15
00010290 21eb 1f4f 7574 6c6f 6f6b 2045 7870 7265 -
00010400 ifff ffff 0100 0000 2b00 0000 ffff ffff
Utilizacion de Outlook Express y de la lista de direcciones a enviar.
Entrada a categoia TCP/IP y llamada hexadecimal a la opertura de sockets.
Opertura de Microsoft Outlock de forma insegura en background.
Obtencion de la libreta de direccion de windows.
Tareas Programadas por el gusano, para su autorreplicacion.
16
00010430 0300 0000 5375 6e00 ffff ffff 0300 0000 -
00010510 558b ec83 c4a4 5356 5733 d289 55a4 8945
Fijado de calendarios por el compilador
Demonios no pense que fuera tan extenso....
Sigamos.....
17
00010ad0 0000 0954 4d69 6d65 5061 7274 ffff ffff -
00010c30 0300 0000 434f 4d00 5356 84d2 7408 83c4
Fijado de MIME.TYPES
DOC aplicacion MS-WORD
GIF image
JPEG image
JPG image
MPEG video
MPG video
PDF text
PNG image
PS PostScript
MOV aplication Quicktime
PIF Shell Shortcut
LNK Acceso dir a conec
BAT lotes de ms-dos
COM.SV para delimitar su patron explicito
EXE ejecutable nomal
18
00010d20 8a43 102c 0172 1b2c 0272 0774 14e9 6201
Determinacion de la unidad Logica
19
000110f0 - 000111a0
Directivos y conectivos del virus
20
00011220 - 00011240
Fijado y busqueda de nombre
21
00011350 - 00011360
Creacion y copiado
22
00011440 4d45 5353 4147 4500 558b eo6a 006a 006a
Llamada de creacion de mensaje
23
00011810 xxxx xxxx xxxx xxxx xxxx xxxx xxxx xxxx
Copiado y replicacion de mensaje a bandeja de salida
24
00011880 xxxx xxxx xxxx xxxx xxxx xxxx xxxx xxxx
Mime.Type a Mensaje
25
000118c0 6e67 00c3 c824 4100 0e0b 544d 6573 7348
Inicio de creacion del correo electronico
000118c0 - 00014f40
Correo electronico todo sobre el
Nota: Aqui vi una parte rara, el virus solicita creacion de colores o de alguna variable con referencia a ellos, la experiencia de el que le llego el correo es que carecia de ellos, sera un bug o SirCam Worm Tiene algo raro.....
26
00014f40 - 000185f0
Switcheo de los idiomas por variables dictadas en el codigo y encriptadas con el compilador.
PARTE CRITICA DEL VIRUS
27
0001ac20 6021 4000 d424 4000 5275 6e74 696d 6520
Proteccion en caso de runtime error suministrada por el compilador.
28
0001aca0 0d0a 8bc0 0000 0000 0000 0000 0000 0000 -
0001ce50 6b65 726e 656c 3332 2e64 6c6c 0000 0000
Creacion y entrada de diccionario para replicado de archivos a kernel.
Analisis de la lista de direcciones para la creacion de los DLL.
Analisis del mismo para dictado de direcciones y archivos a el dll.
Creacion del dll para ser usado por el gusano.
Utilizacion de dicho DLL para el proceso 25 que aqui explico.
29
0001ce60 - 0001d120
Creado de dicho dll y obtencion de parametros para replicacion
30
0001d240 - 0001d420
Creacion de la entrada en egistro y proteccion de no borrado de sircam.
31
0001d480 - 0001d630
Repliacion y seteado de donde se hubicara el virus
Entrada de los dll y de los archivos a el directorio de windrops.. xD
32
0001d680 - 0001d7e0
Copiado de archivos enumeracion de rutinas
urceA.gdi32.dll
33
0001d810 - 0001dba0
Punto critico del virus en seleccion de icono
Creado de imagen
Busqueda de HOST
Nombre de Maquina
Creacion de dicha base de datos
Busqueda de sintomas inet para comprobacion de autoenvio de virus...
34
0001de00 0010 0000 4801 0000 0000 0030 0c30 2c30 3830 -
0001fe40 0000 0c30 0000 0000 0000 0000 0000 0000 0000
Creacion de Base de Datos para los fines del virus
Encripcion de la informacion obtenida en paso 33
35
00020280 - 000202c0
Obturacion principal del icono del virus.
36
000205a0 - 000207b0
Proteccion al icono
37
000207d0 - 00020af0
Proteccion al archivo, icono y fecha de crecion, asi como del copyright
38
00020b10 - 000215b0
+ Proteccion para el archivo
39
000215f0 0000 0000 1900 0000 01a0 5343 616d 3332
Nombre del virus
40
00021600 - 000216f0
Parametros del virus
41
00021e00 - 00022770
Detalles de compilador
42
00026a00 - 00026a70
Dictado de uid - gid
Para los procesos que abarcara
43
00028020 446f 6375 6d65 6e74 6f20 646f 204d 6963
Incongruencia
44
00000000 - 000281f0 Cuerpo del programa.
* Pues en si parece un programa bien hecho destinado a colapsar sistemas....
Como me irrita esto.. Pero en fin
[Source code]
JAJAJA pensaban que se los daria nonononono busquenlo..... ,)
Usen su debuger chavos.... xD
Noticias del "DEVASTADOR SIRCAM"
Fuente www.lacompu.com
McAfee, el fabricante de programas antivirus, elevó a "riesgo alto" la categoría de peligrosidad del virus informático "SirCam", devido a su rápida proliferación y precisó que ya afecta al menos a 80 empresas corporativas en México. En un comunicado, la filial mexicana de la firma estadunidense anunció que sólo este día ha recibido más de 300 reportes de ataques del virus informático en sus laboratorios en California.
Otros 150 reportes fueron hechos en Chile y 50 en Argentina.
El programa destructivo fue lanzado a Internet el pasado martes 17 de julio.
Agregó que el virus, cuyo nombre técnico es "W32/SirCam@MM", tiene origen desconocido aunque al parecer proviene de un país hispano ya que puede ser recibido mediante un correo electrónico con un mensaje en español. Algunas fuentes señalan que fue desarrollado en México.
Wendy López, gerente de soporte técnico de McAfee -México, recomendó a los usuarios íque se aseguren de escanear los archivos con extensiones .LNK y .PIF y a que se ha identificado como un medio de propagación". Sugirió a los usuarios de Internet conectarse a la dirección: http://www.mcafee.com/myapps/vso/default.asp, o mandar un ejemplo a: http://www.webimmune.net para ser analizado.
El virus SirCam intenta enviarse a si mismo y a documentos locales, a todos los usuarios encontrados en la Libreta de Direcciones de Windows (Windows Address Book), y a las direcciones de correo encontradas en los archivos temporales de Internet.
Este virus puede ser recibido mediante un correo electrónico conteniendo la siguiente información "Hola como estas ?" "Te mando este archivo para que me des tu punto de vista", "Espero me puedas ayudar con el archivo que te mando", "Espero te guste este archivo que te mando", "Este es el archivo con la información que me pediste" "Nos vemos pronto, gracias".
..... Entre otras..... muchas mas historias.... Ahora digo querias fama
programador........ LA TIENES.
Multiples advertencias, boletines, etc etc etc por parte de FBI, el pentagono, compañias de antivirus, etc.
ERRADICACION O VACUNA
Pues paseando por Red-Latina vi que en el motd estaba una dir para erradicar el gusano sircam. Es un programa que corre en la shell espero te sirva
www.vernomland.com/pqremove.com es uno de los zites
Otra manera es borrando el archivo desde la shell y editar los registros, asi como los dlls que se crean en fin borrar toda rama que quede de el.
INCONGRUENCIAS Y COSAS RARAS
Se maneja en el source code del virus y al momento de ejecucion : ...
[SirCam Version 1.0 Copyright (c) 2001 2rP Made in / Hecho en - Cuitzeo Michoacan México]
Pero como un mexicano revelaria de donde es, siendo que cuitzeo es un pueblo jodido en el que habra a lo mucho 5 maquinas.... Osea pinche rancho que demonios sucede....
Al parecer no hay servicio de dial up activo en ese paraje alejado de las manos de DIOS.
En el debug se señala la utilizacion de un programa en portugues para loggear y replicar ademas de la utilizacion de compiladores no nacionales ni estadounidenses....
Sera acaso un mexicano pendejo que usa warez portugues o sera un pinche brasileño que quiere vengarse de los mexicanos porque los defaces en contra de paginas gubernamentales son ya deplorables para la comunidad... ????
Sera acaso que hay una ciber-guerra entre mexico y Brasil......
Sera algun otro pelado de otro pais que esta jugando una broma pesada....
Sera un pendejo de otro pais ke sabe que la ley esta cerca y prefiere hecharle la culpa de su creacion a unos tragafrijoles, morenos como nosotros......
Sera acaso que un brasileño visito michoacan, se quedo sin dinero y termino teniendo sexo con alguna persona de cuitzeo que le conto la historia de dicho municipio.
Un asunto realmente raro....
Porque los primeros insidente sse dieron de ordenadores brasileños a mexicanos
Porque la utilizacion de el SMTP default de prodigy.... DIOS que mundo mas loco... Pero dejemos al FBI, CISEN, PFP y demás personas indagar en dicho tema... xD. No nos metamos en problemas que no nos conciernen.
OPINION PERSONAL
En la actualidad se revivio a este pequeño juguete que explique en la historia de SirCam para crear una obra dañina y de muy mal gusto, el que pretende ser un programa hecho por un simple programador que quiere ver que tan bien esta hecho dicho software, con frases amigables saludando y despidiendose de la victima, lo insita a creer en ella y que finalmente el virus sea activado....
Programado por algun latinoamericano el virus se comporta como un amigo, como alguien que quiere estar en tu maquina para hacerte feliz, un archivo que tu necesitabas, cruzando la barrera del lenguaje, W32.Sircam.Worm@mm como las compañias, antivirus lo han llamado, te habla en tu propio idioma xD, no sin antes darte una patada en el trasero al ser ejecutado.
Me parece una obra de alguien que necesita ayuda no solo psicologica sino de toda forma... Un asco en verdad, una alegoria de un defacement, el creador un programadorsillo..... [Porque no te pones a programar cosas que ayuden a la humanidad y no cosas como esta que en verdad son un asco]. Aprovecharte de usuarios de esa famosa porqueria llamada Windows.. en fin.
Ya me pronuncie en contra de toda esta vasofia ahora veamos que onda con el virus.
Bueno aquí concluye mi investigación, si encuentras algo que se me paso, porfa hazmelo saber a anthrax@acidklan.org, gracias.
Saludos a todos... :)
By anthrax
anthrax@acidklan.org