Személyes dokumentumokat küldözget a féregvírus

Az e-mail útján érkezett csatolt fájlok esetében javasolt az óvatosság. Ezt jóformán már minden felhasználó naponta hallja, olvassa vagy tapasztalja. A gyakorlat mégis azt mutatja, hogy a kíváncsiság vagy a figyelmetlenség miatt vígan terjedhetnek a Kurnyikova és Naked Wife típusú e-mail vírusok.

A gyanútlan felhasználók az ismeretlenektől érkező levelekkel vagy a soha angolul nem író ismerősök angolul fogalmazott irományával befutó fájlokat is kinyitogatják. Ezzel rászabadítanak egy programkódot a gépükre, változatos károkat okozva.

A továbbterjedés fenn vázolt útját választja a W32.Sircam féregvírus is, mely múlt héten kedden jelentkezett először. A fertőzött levelek tárgy sorában (subject) a csatolt (és megfertőzött) fájl neve díszeleg.

Feltűnő, hogy a megtévesztés érdekében dupla végződésű a csatolt állomány (például DOC.com, ZIP.com vagy JPG.pif). A levél szövege semmitmondó, angolul vagy spanyolul ennyi áll benne: "Hi! How are you? I send you this file in order to have your advice. See you later. Thanks"

Miután a féregvírust a rákattintással lefuttatták, egy sirc32.exe nevet viselő fájl másolja be magát a C:Recycled könyvtárba. A scam32.exe nevű fájl driverként bejegyzi magát a Windows rendszerleíró adatbázisába. A rendszert olyanformán alakítja át, hogy a féregvírus egyik vagy másik alprogramja minden program indításakor vagy a gép bekapcsolásakor megkísérli betölteni magát.

Ez komolyan megnehezíti a W32.Sircam leküzdését vírusirtó programokkal, és az is a gyógyulás ellen hat, hogy a Lomtár (a Recycled könyvtár) tartalma rendszerint ki van zárva a vizsgálandó elemek közül. Ettől függetlenül a nagy cégek legújabb frissítésű programjai gond nélkül észlelik a féregvírus jelenlétét. Néhány napig egyébként a cégek szakértői sem voltak biztosak benne, hogy a kifinomult féregvírus pontosan mit tesz, és hogyan teszi.

Bár a külső szemlélőnek úgy tűnhet, a W32.Sircam semmi gondot nem okoz, remekül fut, és újraindul a gép, a féregvírus letakarítását minél előbb meg kell ejteni. A jelek arra mutatnak, október 16-án W32.Sircam hajlamos néhány esetben eltávolítani a fájlokat a merevlemezről. Addig is minden egyes újraindításkor lefut egy véletlenszám-generátor, és 1 a 33 eséllyel a merevlemez(ek) szabad területét adatszeméttel töltődik fel. A "továbbszaporodása" biztosításához a féregvírus saját SMTP (e-mail-továbbító) szervert tartalmaz, vagyis nincs ráutalva a hagyományos levelezőprogramokra.

Ez annyit tesz, hogy a W32.Sircam az egyszeri rákattintáson kívül minden külső segítség nélkül képes továbbküldeni magát a következő áldozathoz. Bármilyen levelezőprogrammal érkezhet a féregvírus, adott esetben biztonságosnak tartott webes levelezőfelületen keresztül is megkapható.

A W32.Sircam a címzettek e-mail címeit a Windows címlistájából és a Temporary Internet Files könyvtárból bogarássza elő, és a System könyvtárban egy scw1.dll nevű fájlba tölti.

A csatolt fájl is különleges ennél a vírusnál: találomra felkap valamit a merevlemezről, és ezt passzolja tovább, mint egyik híres elődje, a Magistr. Ezen az úton üzletfelek vagy akár a konkurencia is hozzájuthat a bizalmas iratokhoz. Annak ellenére, hogy alighanem elég fejtörést okoz majd nekik a vírusfertőzés. Ugyanis a továbbított állományban az eltulajdonított dokumentum teljes valójában benne van.

A Symantech antivírus szakértői komoly veszélynek tartják a W32.Sircam-ban rejlő képességeket, bár az igazi járvány még sehol nem tört ki. A fertőzés Dél-Amerikában a legkomolyabb, de gyorsan felzárkózik Európa és az USA is. A féregvírus eltávolításához az F-Secure javítóállományt adott ki, amely képes helyrepofozni a Windows átírt rendszeradatbázisát. A féregvírust biztonsággal csak ezt követően lehet eltávolítani a legújabb frissítésű vírusirtó programokkal.