Analisis Del Virus SirCam [Worm] ::::: [[[[[INDICE]]]]]

By Acid Klan

01.-INICIATIVA:Que me llevo a escribir este articulo y a realizar la investigacion 02.-ANALISIS: Perfil del tema a desarrollar. 03.-DETALLES DE ANALISIS: Con que se realizo el analisis. 04.-HISTORIA: Historia de SirCam 05.-INTRODUCCION 06.-FICHA TECNICA 07.-COMO TRABAJA 08.-DETALLES DE EJECUCION E INFECCION 09.-ANALIZANDO EL VIRUS 10.-NOTICIAS 11.-ERRADICACION Y VACUNA 12.-INCONGRUENCIAS Y COSAS RARAS 13.-OPINION PERSONAL [INICIATIVA] Estaba viendo la Tv cuando de pronto en hechos... [programa noticioso de Tv azteca] dijeron nuevo virus.. SirCam creado por un mexicano de michoacan, hace estregos en mexico. Dije orale un paisano.... No le di importancia. Recivi multiples advertencias de listas de correo de internet... No le di impotancia. Estaba en IRC y me dijeron que investigara y me di a la tarea de hacerlo. Aqui esta mi investigacin. [ANALISIS] Nombre: Sircam Tipo: Gusano/Worm Pais de procedencia: Latinoamerica Brasil Posiblemente, tal vez Mxico Lenguaje: Delphi , Ensamblador o C. Plataforma: Microsoft Windows 9.x 2000, etc [Para variar] Creador: Desconocido Aparicion: Lunes 16 de julio o Martes 17 de julio. Herramientas utilizadas para su creacion: Aparentemente TERROS SIGMA DATASERV DELPHI COMPILER [BRASIL] ENCRIPTADO CON EL MISMO PARA SU SACADO DE CODIGO BASE UTILIZACION DE UN SISTEMA DE LOGS DENTRO DEL SOFT. ALGUNAS INCONGRUENCIAS CON DELPHI POR ESO MANEJO OTROS PROSIBLES LENGUAJES. Posibles Fines de Creacion: JODER, MOLESTAR, ATAREAR,

COLAPSAR SERVIDORES DE CORREO OBSTRUIR MAQUINAS INFECTADAS EN POCAS PALABRAS CASTRAR A LOS USUARIOS DE INET. REPLICACION: MEDIANTE SMTP, LISTA DE CORREOS. Source: Return-Path: <Egastorres@netpar.com.br>Delivered-To: webmaster@****.netReceived: (qmail 9096 invoked by uid 0); 25 Jul 2001 15:03:06 0000Received: from unknown (HELO pr.gov.br) (unknown) by unknown with SMTP; 25 Jul 2001 15:03:06 -0000Received: from egas.pr.gov.br (internet.pr.gov.br [200.238.136.38]) by pr.gov.br (8.9.3 (PHNE_18546)/8.9.3) with SMTP id LAA11796 for <webmaster@****.net>; Wed, 25 Jul 2001 11:59:46 -0300 (SAT)Message-Id: <200107251459.LAA11796@pr.gov.br>From: "Egas Campolim Hutten Torres"<Egastorres@netpar.com.br>To: webmaster@****.netSubject: TErrosdate: Wed, 25 Jul 2001 11:59:40 -0300MIME-Version: 1.0X-MIMEOLE: Produced By Microsoft MimeOLE V5.50.4133.2400X-Mailer: Microsoft Outlook Express 5.50.4133.2400Content-Type: multipart/mixed; boundary="---0362A696_Outlook_Express_message_bo undary" Content-Disposition: Multipart message -[Detalles de ANALISIS] Maquina en la que se analizo: Pentium 233mhz MMX Sistema Operativo: FreeBSD 4.2-RELEASE Programas para su analisis: Hexa Editor Asambler Debug Greetz:-Gupo-Por enviarme el Virus y el correo -Java-Por insitarme a hacer esta investigacin -A todo mi equipo de desarrolladores e Investigadores de AcidKlan. www.acidklan.org -www.vernomland.com - el parche/vacuna -www.lacompu.com - Las Noticias [HISTORIA] Sircam fue creado anteriormente como un virus para las maquinas MAC II, este virus anteriormente ponia un mensaje en pantalla cada 50 veces que se prendia la computadora. Creado por ahi de los aos 80 fue un simple chiste creado por un nio de 14 aos. Este es considerado el primer virus para una computadora conocido. [INTRODUCCION] Todos hoy en dia sabemos lo devastadores que pueden llegar a ser los virus uno nuevo hizo su arribo a la red... Su nombre... SIRCAM, las compaias de antivirus y medios de seguridad lo llaman:

PANDA SOFTWARE..... W32/SirCam SYMANTEC........... W32.Sircam.Worm@mm SOPHOS............. W32/Sircam-A F-SECURE........... Sircam NAi................ W32/SirCam@MM Veamos una ficha tecnica de el virus. [FICHA TECNICA] El arribo de Sircam o de sus primeras apariciones se dieron el 17 de julio, este comenzo a tomar su forma de gusano al distribuirse masivamente como muchos virus de su clase. Los gusanos que tienen el fin de afectar hoy en dia no solo a usuarios sino a administradores de servidores de correo, y en general.

[COMO TRABAJA] Sircam toma una forma amigable se presenta con la frase hola... Como estas? y nos Vemos Pronto Gracias... como primera y ultima linea del cuerpo del mensaje. El correo pide que puebes un programa para que le digas que te parece..... El mensaje que se autoenvia se compone de la siguiente forma: ------------------------------------------------------------------| Asunto: [El archivo que contiene el virus sin extencion] | ------------------------------------------------------------------| Cuerpo: | | Primera Linea: "Hola como estas?" | | El programa cueta con lineas variables en diferentes idiomas | | como las siguientes: | | "Te mando este archivo para que me des tu punto de vista... | | "Espero me puedas ayudar con el archivo que te envio" | | "Espero que te guste el archivo que te envio" | | "Este es el archivo con la informacion que me solicitaste" | | Ultima Linea: "Nos vemos Pronto, gracias." | ------------------------------------------------------------------| Atachment: Archivo con doble extension o cpon extension sencilla| ------------------------------------------------------------------!!!!!Como repito todo esto ya se da en diferentes idiomas!!!!! El gusano pretende ser un mail amigable, un archivo util, algo que nos va a servir, pero es todo lo contrario... El atachment como dije puede contener dos extensiones entre las que estan: -.GIF, -.JPG, -.JPEG, -.MPEG, -.MOV, -.MPG,

-.PDF, -.PNG, -.PS, -.ZIP, -.FLA, -.SWF, -.HTML, -.HTM, -.XML, -.etc. Mas tarde viene la segunda extensin que puede ser: -.EXE, -.COM, -.BAT, -.LNK o -.PIF En la configuracion de windows la segunda extension no se ve, lo que a muchos usuarios los engaa y deciden ejecutarlo para ver el "programa amigable" [DETALLES DE EJECUCION E INFECCION] Ahora analizemos que hace el virus: El usuario abre el programa, en un background de procesos vemos como se copia en la papelera de reciclaje o basurero, como x:\RECYCLED\SirC.exe, otra vez el gusano se refugio en una vulnerabilidad de windows, ya que esta carpeta esta oculta. Mas tarde el gusano aade una entrada en registro, con esto el gusano ahora se ejecutara cada vez que un archivo ejecutable es accionado: HKEY_LOCAL_MACHINE\exefile\shell\open\command\ Defaul="C:\recycled\SirC32.exe" "%1" %" HKEY_LOCAL_MACHINE\Software\SirCam Con los siguientes valores: FB1B - El nombre del gusano que estara en la papelera. FB1BA - La direccion del SMTP FB1BB - La direccion de correo del que manda FC0 - Nmero de veces que se a ejecutado el virus FC1 - La version del Gusano FD1 - El nombre del gusano sin su extensin. Ahora Sircam comienza su fase destructiva, crea una lista de archivos de la carpeta de documentos, cuyas extensiones sean: *.gif,*.jpg,*.jpeg,*.mpeg,*.pdf,*.png,*.ps,*.zip. El archivo que contendra dicha lista se llama SCx.DLL y se depositara en Windows\System, Ahora Sircam bajo SCxx.DLL, crea una lista de las direcciones de correo electronico de la lista de contactos o de la lista de direcciones de windows y en la carpeta de archivos

temporales de internet. [x|x puede variar el nombre de acompletamiento del archivo] [para los que no saben ni un carajo de matematicas x tal que x ok :)] Existen especies de clones generadas por el mismo virus, esta se da cuando el archivo que esta en atachment contiene "FS2" e no es eguido de "sc". Cuando esta version ataca todos los archivos de c: cuando sea 16 de Octubre sern borrados, as SirCam actua como una bomba logica tambin. Ahora se comenzara a comportar como gusano...... Comienza la subrutina para comportarse como Worm con un SMTP para autoenviarse a las direcciones que almaceno en SCxx.DLL, aadiendo una segunda extension, de esta manera parecera distinto cada vez que se envie. Tambien tomar una rutina para enviarse a todo el hostname como lo vemos en el source que envio el .gov.br, ademas trae una subrutina preestablecida de reenvio y aparicin de un sedmail mexicano "prodigy.net.mx". [ANALIZANDO EL VIRUS] Vision Hexadecimal 1 00000050 5468 6973 2070 726f 6772 616d 206d 7573 00000060 7420 6265 2072 756e 2075 6e64 6572 2057 00000070 696e 3332 0d0a 2437 0000 0000 0000 0000 Que nos dice esto? Que este programa solo pora correr en windows 32. Sigamos analizando 2 00000100 5045 0000 4c01 0800 195e 422a 0000 0000 00000101 0000 0000 e000 8e81 0b01 0219 00a8 0100 00000120 006c 0000 0000 0000 a4a9 0100 0010 0000 Origen 3 000001F0 0000 0000 0000 0000 434f 4445 0000 0000 Inicia la Fase de Codigo 4 00000400 - 00005640 Se detalla las intrusiones en memoria y procesos ocultos como se escribira el registro, como se buscaran los archivos y demas variables. 5 00005650 0000 0945 7863 6570 7469 6f6e a862 4000

Se detalla una excepcion 6 00005760 0b45 496e 4f75 7445 7272 6f72 b863 4000 Entradas en memoria 7 00005760 - 00007970 Inclusiones, Exclusiones, runlevels, error-runlevels 8 000079a0 0008 0900 0000 0001 0aa6 8b40 00e9 8540 Y sigue la yunta andando...... xD 9 000079a0 0008 xxxx xxxx xxxx xxxx xxxx xxxx xxxx 000096c0 0c00 0000 8bc3 e86d eaff ffa2 ece5 4100 Codigo Desconocido, o escondido por compilador 10 00009700 3000 0000 ffff ffff 0600 0000 6d2f 642d 00009780 0300 0000 3a6d 6d00 ffff ffff 0600 0000 Fijado de relog al CTCM 11 00009890 28C1 4100 5bc3 0000 6b65 726e 656c 3332 Entrada del software a KERNEL32.dll y obtencion de espacio libre en disco 12 00009890 - 0000fb50 Entradas de memoria 13 0000fb60 fb4b 0000 ffff ffff 1700 0000 496e 7465 0000fb70 7272 7570 7465 6420 7379 7374 656D 2063 0000Fb80 616c 6c00 ffff ffff 0f00 0000 4261 6420 0000fb90 6669 6c65 206e 756d 6265 7200 ffff ffff etc etc etc hasta 0000dbe0 6d65 6e74 0000 0000 ffff ffff 1300 0000 14 Detalles de operatura y delimitacion del archivo a copiar y a replicar 0000fc70 ffff ffff 1d00 0000 536f 636b 6574 206f 00010270 0e41 0064 ff30 6489 20ff 055c e641 0033 Delimitacion de el sistema de automandado a la lista de correos Utilizacion de la red

Aspectos de entrada a la red y runlevels fake runlevels Parte principal que hace que el virus actue como gusano 15 00010290 21eb 1f4f 7574 6c6f 6f6b 2045 7870 7265 00010400 ifff ffff 0100 0000 2b00 0000 ffff ffff Utilizacion de Outlook Express y de la lista de direcciones a enviar. Entrada a categoia TCP/IP y llamada hexadecimal a la opertura de sockets. Opertura de Microsoft Outlock de forma insegura en background. Obtencion de la libreta de direccion de windows. Tareas Programadas por el gusano, para su autorreplicacion. 16 00010430 0300 0000 5375 6e00 ffff ffff 0300 0000 00010510 558b ec83 c4a4 5356 5733 d289 55a4 8945 Fijado de calendarios por el compilador Demonios no pense que fuera tan extenso.... Sigamos..... 17 00010ad0 0000 0954 4d69 6d65 5061 7274 ffff ffff 00010c30 0300 0000 434f 4d00 5356 84d2 7408 83c4 Fijado de MIME.TYPES DOC aplicacion MS-WORD GIF image JPEG image JPG image MPEG video MPG video PDF text PNG image PS PostScript MOV aplication Quicktime PIF Shell Shortcut LNK Acceso dir a conec BAT lotes de ms-dos COM.SV para delimitar su patron explicito EXE ejecutable nomal 18 00010d20 8a43 102c 0172 1b2c 0272 0774 14e9 6201 Determinacion de la unidad Logica

19 000110f0 - 000111a0 Directivos y conectivos del virus 20 00011220 - 00011240 Fijado y busqueda de nombre 21 00011350 - 00011360 Creacion y copiado 22 00011440 4d45 5353 4147 4500 558b eo6a 006a 006a Llamada de creacion de mensaje 23 00011810 xxxx xxxx xxxx xxxx xxxx xxxx xxxx xxxx Copiado y replicacion de mensaje a bandeja de salida 24 00011880 xxxx xxxx xxxx xxxx xxxx xxxx xxxx xxxx Mime.Type a Mensaje 25 000118c0 6e67 00c3 c824 4100 0e0b 544d 6573 7348 Inicio de creacion del correo electronico 000118c0 - 00014f40 Correo electronico todo sobre el Nota: Aqui vi una parte rara, el virus solicita creacion de colores o de alguna variable con referencia a ellos, la experiencia de el que le llego el correo es que carecia de ellos, sera un bug o SirCam Worm Tiene algo raro..... 26 00014f40 - 000185f0 Switcheo de los idiomas por variables dictadas en el codigo y encriptadas con el compilador. ************[[[[PARTE CRITICA DEL VIRUS]]]]************ 27 0001ac20 6021 4000 d424 4000 5275 6e74 696d 6520 Proteccion en caso de runtime error suministrada por el compilador. 28 0001aca0 0d0a 8bc0 0000 0000 0000 0000 0000 0000 -

0001ce50 6b65 726e 656c 3332 2e64 6c6c 0000 0000 Creacion y entrada de diccionario para replicado de archivos a kernel. Analisis de la lista de direcciones para la creacion de los DLL. Analisis del mismo para dictado de direcciones y archivos a el dll. Creacion del dll para ser usado por el gusano. Utilizacion de dicho DLL para el proceso 25 que aqui explico. 29 0001ce60 - 0001d120 Creado de dicho dll y obtencion de parametros para replicacion 30 0001d240 - 0001d420 Creacion de la entrada en egistro y proteccion de no borrado de sircam. 31 0001d480 - 0001d630 Repliacion y seteado de donde se hubicara el virus Entrada de los dll y de los archivos a el directorio de windrops.. xD 32 0001d680 - 0001d7e0 Copiado de archivos enumeracion de rutinas urceA.gdi32.dll 33 0001d810 - 0001dba0 Punto critico del virus en seleccion de icono Creado de imagen Busqueda de HOST Nombre de Maquina Creacion de dicha base de datos Busqueda de sintomas inet para comprobacion de autoenvio de virus... 34 0001de00 0010 0000 4801 0000 0000 0030 0c30 2c30 3830 0001fe40 0000 0c30 0000 0000 0000 0000 0000 0000 0000 Creacion de Base de Datos para los fines del virus Encripcion de la informacion obtenida en paso 33 35 00020280 - 000202c0

Obturacion principal del icono del virus. 36 000205a0 - 000207b0 Proteccion al icono 37 000207d0 - 00020af0 Proteccion al archivo, icono y fecha de crecion, asi como del copyright 38 00020b10 - 000215b0 + Proteccion para el archivo 39 000215f0 0000 0000 1900 0000 01a0 5343 616d 3332 Nombre del virus 40 00021600 - 000216f0 Parametros del virus 41 00021e00 - 00022770 Detalles de compilador 42 00026a00 - 00026a70 Dictado de uid - gid Para los procesos que abarcara 43 00028020 446f 6375 6d65 6e74 6f20 646f 204d 6963 Incongruencia 44 00000000 - 000281f0 Cuerpo del programa. * Pues en si parece un programa bien hecho destinado a colapsar sistemas.... Como me irrita esto.. Pero en fin [Source code]

JAJAJA pensaban que se los daria nonononono busquenlo..... ,) Usen su debuger chavos.... xD [Noticias del "DEVASTADOR SIRCAM"] Fuente www.lacompu.com McAfee, el fabricante de programas antivirus, elev a "riesgo alto" la categora de peligrosidad del virus informtico "SirCam", devido a su rpida proliferacin y precis que ya afecta al menos a 80 empresas corporativas en Mxico. En un comunicado, la filial mexicana de la firma estadunidense anunci que slo este da ha recibido ms de 300 reportes de ataques del virus informtico en sus laboratorios en California. Otros 150 reportes fueron hechos en Chile y 50 en Argentina. El programa destructivo fue lanzado a Internet el pasado martes 17 de julio. Agreg que el virus, cuyo nombre tcnico es "W32/SirCam@MM", tiene origen desconocido aunque al parecer proviene de un pas hispano ya que puede ser recibido mediante un correo electrnico con un mensaje en espaol. Algunas fuentes sealan que fue desarrollado en Mxico. Wendy Lpez, gerente de soporte tcnico de McAfee -Mxico, recomend a los usuarios que se aseguren de escanear los archivos con extensiones .LNK y .PIF y a que se ha identificado como un medio de propagacin". Sugiri a los usuarios de Intrnet conectarse a la direccin: http://www.mcafee.com/myapps/vso/default.asp, o mandar un ejemplo a : http:// www.webimmune.net para ser analizado. El virus SirCam intenta enviarse a si mismo y a documentos locales, a todos los usuarios encontrados en la Libreta de Direcciones de Windows (Windows Address Book), y a las direcciones de correo encontradas en los archivos temporales de Internet. Este virus puede ser recibido mediante un correo electrnico conteniendo la siguiente informacin "Hola como estas ?" "Te mando este archivo para que me des tu punto de vista", "Espero me puedas ayudar con el archivo que te mando", "Espero te guste este archivo que te mando", "Este es el archivo con la informacin que me pediste" "Nos vemos pronto, gracias". ..... Entre otras..... muchas mas historias.... Ahora digo querias fama programador........ LA TIENES. Multiples advertencias, boletines, etc etc etc por parte de FBI, el pentagono, compaias de antivirus, etc. [ERRADICACION O VACUNA] Pues paseando por Red-Latina vi que en el motd estaba una dir para erradicar el gusano sircam. Es un programa que corre en la shell espero te sirva "www.vernomland.com/pqremove.com" es uno de los web sites Otra manera es borrando el archivo desde la shell y editar los registros, asi como los dlls que se crean en fin borrar toda rama que quede de el.

[INCONGRUENCIAS Y COSAS RARAS] Se maneja en el source code del virus y al momento de ejecucion : ... [SirCam Version 1.0 Copyright (c) 2001 2rP Made in / Hecho en - Cuitzeo Michoacan Mxico] Pero como un mexicano revelaria de donde es, siendo que cuitzeo es un pueblo jodido en el que habra a lo mucho 5 maquinas.... Osea pinche rancho que demonios sucede.... Al parecer no hay servicio de dial up activo en ese paraje alejado de las manos de DIOS. En el debug se seala la utilizacion de un programa en portugues para loggear y replicar ademas de la utilizacion de compiladores no nacionales ni estadounidenses.... Sera acaso un mexicano pendejo que usa warez portugues o sera un pinche brasileo que quiere vengarse de los mexicanos porque los defaces en contra de paginas gubernamentales son ya deplorables para la comunidad... ???? Sera acaso que hay una ciber-guerra entre mexico y Brasil...... Sera algun otro pelado de otro pais que esta jugando una broma pesada.... Sera un pendejo de otro pais ke sabe que la ley esta cerca y prefiere hecharle la culpa de su creacion a unos tragafrijoles, morenos como nosotros...... Sera acaso que un brasileo visito michoacan, se quedo sin dinero y termino teniendo sexo con alguna persona de cuitzeo que le conto la historia de dicho municipio. Un asunto realmente raro.... Porque los primeros insidente sse dieron de ordenadores brasileos a mexicanos Porque la utilizacion de el SMTP default de prodigy.... DIOS que mundo mas loco... Pero dejemos al FBI, CISEN, PFP y dems personas indagar en dicho tema... xD. No nos metamos en problemas que no nos conciernen. [OPINION PERSONAL] En la actualidad se revivio a este pequeo juguete que explique en la historia de SirCam para crear una obra daina y de muy mal gusto, el que pretende ser un programa hecho por un simple programador que quiere ver que tan bien esta hecho dicho software, con frases amigables saludando y despidiendose de la victima, lo insita a creer en ella y que finalmente el virus sea activado.... Programado por algun latinoamericano el virus se comporta como un amigo, como alguien que quiere estar en tu maquina para hacerte feliz, un archivo que tu necesitabas, cruzando la barrera del lenguaje, W32.Sircam.Worm@mm como las compaias, antivirus lo han llamado, te habla en tu propio idioma xD, no sin antes darte una patada en el trasero al ser ejecutado. Me parece una obra de alguien que necesita ayuda no solo psicologica sino de toda forma... Un asco en verdad, una alegoria de un defacement, el creador un programadorsillo..... [Porque no te pones a programar cosas que ayuden a la

humanidad y no cosas como esta que en verdad son un asco]. Aprovecharte de usuarios de esa famosa porqueria llamada Windows.. en fin. Ya me pronuncie en contra de toda esta vasofia ahora veamos que onda con el virus. Bueno aqu concluye mi investigacin, si encuentras algo que se nos paso, porfa hazmelo saber a webmaster@acidklan.org, gracias. Saludos a todos nuestros amigos de wierd news... :)