certfr_alerte - CERTA-2001-ALE-009

CERTA-2001-ALE-009

Vulnerability from certfr_alerte - Published: - Updated:

Des remontées d'informations, nous apprennent que le ver SirCam se propage à très grande vitesse sur les réseaux français.

Description

Le virus SirCam-A aussi appelé W32/SirCam@mm, Backdoor.Sircam ou encore W32.Sircam.Worm@mm est un ver utilisant pour se propager les pièces jointes dans un mél ainsi que les fichiers partagés et non protégés sous Windows.

Il se présente actuellement sous la forme d'un mél écrit en anglais ou espagnol invitant l'utilisateur à exécuter une pièce jointe à ce courrier.

Les pièces jointes sont des fichiers de la machine contaminée de l'émetteur du message possèdant une double extension en .jpg.com, .mpg.pif par exemple, afin de tromper la vigilance des usagers.

Si le fichier attaché est ouvert, le ver installe les fichiers suivants :

C:\RECYCLED\SirC32.exe ainsi que SCam32.exe dans le repertoire Windows\System.

Plusieurs clés de la base des registres sont aussi créées ou modifiées :

HKCR\exefile\shell\open\command\Default="C:\recycled\SirC32.exe" "%1" %*

HKLM\Software\Microsoft\Windows\CurrentVersion\ RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe

HKLM\Software\Sircam

En plus de s'installer, et de se propager sous cette forme, le virus peut avoir d'autres effets :

diffusion par mél de fichiers trouvés sur le disque dur de la machine contaminée puis infectés ;
suppression aléatoire de fichiers du disque dur voire effacement complet ;
remplissage de l'espace restant sur le disque dur par ajout de texte au fichier \Recycled\sircam.sys.

L'effet nuisible principal de ce virus, est certainement la diffusion non contrôlée de documents.

Ce ver a la particularité de possèder son propre service SMTP de façon à envoyer ses messages aux correspondants du carnet d'adresses Outlook ainsi qu'aux adresses trouvées dans les fichiers temporaires d'Internet Explorer.

Il recherche aussi les répertoires partagés sans protection sur le réseau.

Lorsqu'il en trouve, il tente de s'installer dans le répertoire Recycled sous le nom SirC32.exe et de renommer rundll32.exe en run32.exe pour s'y substituer dans le répertoire Windows du disque partagé s'il existe.

En cas de succès, le fichier autoexec.bat est modifié de façon à exécuter Rundll32.exe au démarrage.

Solution de prévention

Suivre les recommandations de la note CERTA-2000-INF-002 concernant les pièces jointes :

mettre à jour son antivirus ;
ne pas exécuter les pièces jointes sans vérification de leur bien-fondé. En particulier le fait de recevoir une pièce jointe d'une personne connue n'est pas une garantie de l'inocuité de l'attachement.

Suivre les recommandations de l'avis CERTA-2001-ALE-002 concernant les partages de fichiers :

Bloquer les ports concernant Netbios sur le garde-barrière : 135, 137, 138, 139 TCP et UDP ;
mettre à niveau les règles de sécurité sur les fichiers et principalement les ressources partagées :
- supprimer les partages non authentifiés ;
- mettre des mots de passe sur tout partage Windows 9x ;
- renforcer les mots de passe existants ;
- renforcer les permissions sur les partages de Windows NT/2000.

Solution en cas de contamination

Après avoir déconnecté la machine infectée du réseau, mis à jour votre antivirus et vérifié que votre système affiche tous les fichiers et ne masque aucune extension suivez ces instructions dans l'ordre :

Supprimer tous les fichiers \windows\SIrC32.exe et Scam32.exe s'ils existent ;
Sirun32.exe existe, alors supprimer rundll32.exe et renommer run32.exe en rundll32.exe ;
modifier les clés de la base des registres comme suit :
- supprimer les clés
  
  \HKEY_LOCAL_MACHINE\Software\Sircam ;
  
  \HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesirCam ;
- et changer la valeur de la clé (Ne surtout pas supprimer cette clé !)
  
  \HKEY_CLASSES_ROOT\exefile\shell\open\command
  
  en y remettant la valeur "%1" %*".
Supprimer, si elle existe, la ligne

@Win \recycled\sirc32.exe

du fichier autoexec.bat ;
supprimer le fichier Sircam.sys s'il existe ;
parcourir tout le système avec l'antivirus et supprimer tous les fichiers détectés par ce dernier.

Solution

Mettre à jour les bases de signatures des logiciels anti-virus.

Toutes les plateformes Windows 9x et dans certains cas les autres plateformes Windows 32 bits.

Impacted products

	Vendor	Product	Description

References

Title

Publication Time

Tags

Sophos	None	vendor-advisory
Avis de Fsecure :	-	other
Encyclopédie des virus de Symantec :	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eToutes les plateformes Windows 9x et dans certains cas les  autres plateformes Windows 32 bits.\u003c/P\u003e",
  "closed_at": "2001-07-26",
  "content": "## Description\n\nLe virus SirCam-A aussi appel\u00e9 W32/SirCam@mm, Backdoor.Sircam ou encore\nW32.Sircam.Worm@mm est un ver utilisant pour se propager les pi\u00e8ces\njointes dans un m\u00e9l ainsi que les fichiers partag\u00e9s et non prot\u00e9g\u00e9s sous\nWindows.\n\nIl se pr\u00e9sente actuellement sous la forme d\u0027un m\u00e9l \u00e9crit en anglais ou\nespagnol invitant l\u0027utilisateur \u00e0 ex\u00e9cuter une pi\u00e8ce jointe \u00e0 ce\ncourrier.\n\nLes pi\u00e8ces jointes sont des fichiers de la machine contamin\u00e9e de\nl\u0027\u00e9metteur du message poss\u00e8dant une double extension en .jpg.com,\n.mpg.pif par exemple, afin de tromper la vigilance des usagers.\n\nSi le fichier attach\u00e9 est ouvert, le ver installe les fichiers suivants\n:\n\n`C:\\RECYCLED\\SirC32.exe` ainsi que SCam32.exe dans le repertoire\n`Windows\\System`.\n\nPlusieurs cl\u00e9s de la base des registres sont aussi cr\u00e9\u00e9es ou modifi\u00e9es :\n\n\u003cspan\nclass=\"small\"\u003e`HKCR\\exefile\\shell\\open\\command\\Default=\"C:\\recycled\\SirC32.exe\"  \"%1\" %*`\u003c/span\u003e\n\n\u003cspan class=\"small\"\u003e`HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\`\n`RunServices\\Driver32=C:\\WINDOWS\\SYSTEM\\SCam32.exe`\u003c/span\u003e\n\n\u003cspan class=\"small\"\u003e`HKLM\\Software\\Sircam`\u003c/span\u003e\n\nEn plus de s\u0027installer, et de se propager sous cette forme, le virus\npeut avoir d\u0027autres effets :\n\n-   diffusion par m\u00e9l de fichiers trouv\u00e9s sur le disque dur de la\n    machine contamin\u00e9e puis infect\u00e9s ;\n-   suppression al\u00e9atoire de fichiers du disque dur voire effacement\n    complet ;\n-   remplissage de l\u0027espace restant sur le disque dur par ajout de texte\n    au fichier `\\Recycled\\sircam.sys`.\n\nL\u0027effet nuisible principal de ce virus, est certainement la diffusion\nnon contr\u00f4l\u00e9e de documents.\n\nCe ver a la particularit\u00e9 de poss\u00e8der son propre service SMTP de fa\u00e7on \u00e0\nenvoyer ses messages aux correspondants du carnet d\u0027adresses Outlook\nainsi qu\u0027aux adresses trouv\u00e9es dans les fichiers temporaires d\u0027Internet\nExplorer.\n\nIl recherche aussi les r\u00e9pertoires partag\u00e9s sans protection sur le\nr\u00e9seau.\n\nLorsqu\u0027il en trouve, il tente de s\u0027installer dans le r\u00e9pertoire Recycled\nsous le nom SirC32.exe et de renommer rundll32.exe en run32.exe pour s\u0027y\nsubstituer dans le r\u00e9pertoire Windows du disque partag\u00e9 s\u0027il existe.\n\nEn cas de succ\u00e8s, le fichier autoexec.bat est modifi\u00e9 de fa\u00e7on \u00e0\nex\u00e9cuter Rundll32.exe au d\u00e9marrage.\n\n## Solution de pr\u00e9vention\n\nSuivre les recommandations de la note CERTA-2000-INF-002 concernant les\npi\u00e8ces jointes :\n\n-   mettre \u00e0 jour son antivirus ;\n-   ne pas ex\u00e9cuter les pi\u00e8ces jointes sans v\u00e9rification de leur\n    bien-fond\u00e9. En particulier le fait de recevoir une pi\u00e8ce jointe\n    d\u0027une personne connue n\u0027est pas une garantie de l\u0027inocuit\u00e9 de\n    l\u0027attachement.\n\nSuivre les recommandations de l\u0027avis CERTA-2001-ALE-002 concernant les\npartages de fichiers :\n\n-   Bloquer les ports concernant Netbios sur le garde-barri\u00e8re : 135,\n    137, 138, 139 TCP et UDP ;\n-   mettre \u00e0 niveau les r\u00e8gles de s\u00e9curit\u00e9 sur les fichiers et\n    principalement les ressources partag\u00e9es :\n    -   supprimer les partages non authentifi\u00e9s ;\n    -   mettre des mots de passe sur tout partage Windows 9x ;\n    -   renforcer les mots de passe existants ;\n    -   renforcer les permissions sur les partages de Windows NT/2000.\n\n## Solution en cas de contamination\n\nApr\u00e8s avoir d\u00e9connect\u00e9 la machine infect\u00e9e du r\u00e9seau, mis \u00e0 jour votre\nantivirus et v\u00e9rifi\u00e9 que votre syst\u00e8me affiche tous les fichiers et ne\nmasque aucune extension suivez ces instructions dans l\u0027ordre :\n\n1.  Supprimer tous les fichiers `\\windows\\SIrC32.exe` et Scam32.exe\n    s\u0027ils existent ;\n\n2.  Sirun32.exe existe, alors supprimer rundll32.exe et renommer\n    run32.exe en rundll32.exe ;\n\n3.  modifier les cl\u00e9s de la base des registres comme suit :\n    -   supprimer les cl\u00e9s\n\n        `\\HKEY_LOCAL_MACHINE\\Software\\Sircam` ;\n\n        `\\HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServicesirCam`\n        ;\n\n    -   et changer la valeur de la cl\u00e9 (Ne surtout pas supprimer cette\n        cl\u00e9 !)\n\n        `\\HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command`\n\n        en y remettant la valeur `\"%1\" %*\"`.\n\n4.  Supprimer, si elle existe, la ligne\n\n    `@Win \\recycled\\sirc32.exe`\n\n    du fichier autoexec.bat ;\n\n5.  supprimer le fichier Sircam.sys s\u0027il existe ;\n\n6.  parcourir tout le syst\u00e8me avec l\u0027antivirus et supprimer tous les\n    fichiers d\u00e9tect\u00e9s par ce dernier.\n\n## Solution\n\nMettre \u00e0 jour les bases de signatures des logiciels anti-virus.\n",
  "cves": [],
  "links": [
    {
      "title": "Avis de Fsecure :",
      "url": "http://www.europe.f-secure.com/v-descs/sircam.shtml"
    },
    {
      "title": "Encyclop\u00e9die des virus de Symantec :",
      "url": "http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.html"
    }
  ],
  "reference": "CERTA-2001-ALE-009",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-07-24T00:00:00.000000"
    },
    {
      "description": "seconde version : dans les solutions, la supression de la cl\u00e9 \u003cP\u003e\u003cSMALL class= \"FOOTNOTESIZE\"\u003e\u003cCODE\u003eHKCR\\exefile\\shell\\open\\command\\Default=\"C:\\recycled\\SirC32.exe\" \"%1\" %*\u003c/CODE\u003e\u003c/SMALL\u003e\u003c/P\u003e \u003cP\u003eengendre un disfonctionnement des syst\u00e8mes trait\u00e9s.\u003c/P\u003e",
      "revision_date": "2001-07-26T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Propagation de ver"
    },
    {
      "description": "Divulgation de documents et perte de confidentialit\u00e9"
    }
  ],
  "summary": "Des remont\u00e9es d\u0027informations, nous apprennent que le ver SirCam se\npropage \u00e0 tr\u00e8s grande vitesse sur les r\u00e9seaux fran\u00e7ais.\n",
  "title": "Propagation importante du virus SirCam",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Sophos",
      "url": "http://www.sophos.com/virusinfo/analyses/w32sircama.html"
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted