Sono bastati pochi giorni per farne il primo nella classifica dei virus mondiali. Si chiama SirCam, è un worm e arriva come allegato di posta elettronica con due estensioni. Si diffonde anche sui dischi in rete locale ma non nei sistemi Windows Nt e 2000.
In soli sei giorni dalla sua comparsa, Sircam ha guadagnato il primo
posto nella classifica dei virus mondiali per diffusione. E’ già
sicuramente attivo in Francia, Usa, Canada, Cina, Italia, Spagna, Turchi,
Inghilterra, Polonia, Argentina, Russia e parecchie altre nazioni.
Usa la
stessa tecnologia per penetrare nei computer e diffondersi dei famigerati
Melissa e Loveletter. La sua diffusione dimostra che ancora moltissimi utenti
non usano sistemi di protezione della posta elettronica e attivano incautamente
gli allegati che arrivano con essa.
Infatti, Sircam si diffonde come un
allegato. La (maligna) innovazione è che il nome del file, la sua
estensione ed il testo del messaggio di email variano sempre. Il worm arriva
come allegato di posta elettronica con due nomi di estensioni, ad esempio
Nomef.ex1.ex2. La parte “ex1” del nome è quella di un file casuale scelto in una
delle cartelle del computer infettato. La parte “ex2” può essere un suffisso
.Lnk, .Exe o . Pif.
L’email infetta arriva in inglese, spagnolo, italiano
o altre lingue. Il file allegato è una copia del virus mescolata con un file
casuale del computer ospite. Quando si apre l’allegato, il virus si copia nel
file nascosto Scam32.exe nella cartella System di Windows e Sirc32.exe nella
cartella Recycled. Vengono modificate parecchie voci del Registry per attivarlo
automaticamente ad ogni accensione del personal.
Il worm ricerca i file
contenenti indirizzi di email (come ad esempio quelli con suffisso .Wab, Windows
Address Book) e .Htm, inviando in maniera nascosta messaggi di posta elettronica
a tali indirizzi. Il file allegato in chiusura del worm può contenere un file
.Zip, .Xls o .Doc preso anch’esso dai file del computer ospite.
Il virus
si diffonde anche sui dischi in rete locale, ma non nei sistemi Windows Nt e
2000. Occasionalmente, si copia in file diversi da Scam32.exe, Sirc32.exe e
Rundll32. Inoltre, cancella tutti i file e le cartelle del sistema, partendo dal
disco C. I file risparmiati sono quelli correntemente in uso e quindi
“bloccati”.
Il virus è riconosciuto da tutti i principali antivirus
commerciali, con gli ultimi aggiornamenti,. Sui siti dei produttori sono anche
disponibili programmi e procedure gratuite per rimuovere il virus da sistemi già
infetti.
