Во вторник, 24 июля, специалистами технической дирекции «Дня» обнаружена мощная вирусная атака почтовых ящиков редакции письмами с вирусом SirCam, своего рода «штормового червя», оцененного Symantec (компания-разработчик программы Norton-Antivirus) по пятибалльной шкале в четыре балла. Вирус, написанный на Delphi, распространяется по локальной сети и электронной почте. С некоторой вероятностью, при загрузке системы он может создать файл SirCam.Sys, в котором содержится информация о том, что создан «червь» горячими мексиканскими парнями.
SirCam распространяется по e mail в виде прикрепленногофайла со случайным именем и двойным расширением. Оба расширения также выбираются вирусом случайно из набора: для первого расширения — .doc., .xls., .zip., exe., для второго расширения — .pif, .lnk, .bat, .com. Таким образом, прикрепленные файлы могут выглядеть, например, так: feb01.xls.pif или normas.doc.bat.
«Червь» в процессе внедрения и сканирования системы создает несколько библиотек, в которых хранит различную служебную информацию: например, в sdc.dll содержит имена файлов с подходящим первым расширением, в файлах sch1.dll и sci1.dll хранятся адреса электронной почты, найденные в системе. Возможно также создание файлов sct1.dll и scy1.dll для хранения другой необходимой информации.
При внедрении в систему червь копирует себя в различные директории под разными именами. В директорию c:/windows и c:/recycled под именем SirC32.exe; в системную директорию Windows под именем SCam32.exe и другие. При этом эти действия совершаются постепенно и в зависимости от различных факторов. В отличие от многих анонсированных ранее вирусов, этот уже явно действует. Количество полученных за день сообщений с такими прикрепленными файлами превысило все мыслимые пределы.
О широте распространения вируса свидетельствует то, что потоки «зараженных» электронных писем идут с адресов коммерческих компаний, госучреждений, СМИ. SirCam также распространяется в Европе, США, России (mail.ru).
Самый радикальный способ борьбы — не открывать в письмах вложенные файлы, имеющие двойное расширение, и уничтожать такие письма, а уж если открыли — будьте готовы к переустановке операционной системы, предупреждают Михаил СКУРАТОВСКИЙ и Виктор ЮРКЕВИЧ , «День».
