Neperos
SIGN IN
Copy Link
Add to Bookmark
Report

3.03 - Analisis Del Virus SirCam [Worm]

eZine's profile picture
eZine lover (@eZine)
Published in 
acid klan
 · 23 Oct 2022

INDICE

  1. INICIATIVA: Que me llevo a escribir este articulo y a realizar la investigacion
  2. ANALISIS: Perfil del tema a desarrollar.
  3. DETALLES DE ANALISIS: Con que se realizo el analisis.
  4. HISTORIA: Historia de SirCam
  5. INTRODUCCION
  6. FICHA TECNICA
  7. COMO TRABAJA
  8. DETALLES DE EJECUCION E INFECCION
  9. ANALIZANDO EL VIRUS
  10. NOTICIAS
  11. ERRADICACION Y VACUNA
  12. INCONGRUENCIAS Y COSAS RARAS
  13. OPINION PERSONAL

INICIATIVA

Estaba viendo la Tv cuando de pronto en hechos... [programa noticioso de Tv azteca] dijeron nuevo virus.. SirCam creado por un mexicano de morelia, hace estregos en mexico. Dije orale un paisano.... No le di importancia.

Recivi multiples advertencias de listas de correo de internet... No le di impotancia.

Estaba en IRC y me dijeron que investigara y me di a la tarea de hacerlo.

Aqui esta mi investigación.

ANALISIS

Nombre: Sircam
Tipo: Gusano/Worm
Pais de procedencia: Latinoamerica, Brasil Posiblemente, tal vez México
Lenguaje: Delphi, Ensamblador o C.
Plataforma: Microsoft Windows 9.x 2000, etc [Para variar]
Creador: Desconocido
Aparicion: Lunes 16 de julio o Martes 17 de julio.
Herramientas utilizadas para su creacion: Aparentemente TERROS SIGMA DATASERV DELPHI COMPILER [BRASIL] ENCRIPTADO CON EL MISMO PARA SU SACADO DE CODIGO BASE UTILIZACION DE UN SISTEMA DE LOGS DENTRO DEL SOFT. ALGUNAS INCONGRUENCIAS CON DELPHI POR ESO MANEJO OTROS PROSIBLES LENGUAJES.

Posibles Fines de Creacion: JODER, MOLESTAR, ATAREAR, COLAPSAR SERVIDORES DE CORREO OBSTRUIR MAQUINAS INFECTADAS EN POCAS PALABRAS CASTRAR A LOS USUARIOS DE INET.

REPLICACION: MEDIANTE SMTP, LISTA DE CORREOS.

Source:
Return-Path: <Egastorres@netpar.com.br>Delivered-To: webmaster@****.netReceived: (qmail 9096 invoked by uid 0); 25 Jul 2001 15:03:06 -0000Received: from unknown (HELO pr.gov.br) (unknown) by unknown with SMTP; 25 Jul 2001 15:03:06 -0000Received: from egas.pr.gov.br (internet.pr.gov.br [200.238.136.38])by pr.gov.br (8.9.3 (PHNE_18546)/8.9.3) with SMTP id LAA11796for <webmaster@****.net>; Wed, 25 Jul 2001 11:59:46 -0300 (SAT)Message-Id: <200107251459.LAA11796@pr.gov.br>From: "Egas Campolim Hutten Torres"<Egastorres@netpar.com.br>To: webmaster@****.netSubject: TErrosdate: Wed, 25 Jul 2001 11:59:40 -0300MIME-Version: 1.0X-MIMEOLE: Produced By Microsoft MimeOLE V5.50.4133.2400X-Mailer: Microsoft Outlook Express 5.50.4133.2400Content-Type: multipart/mixed; boundary="----0362A696_Outlook_Express_message_bo
undary"
Content-Disposition: Multipart message
-[Detalles de ANALISIS]

Maquina en la que se analizo: Pentium 233mhz MMX
Sistema Operativo: FreeBSD 4.2-RELEASE
Programas para su analisis: Hexa Editor, Asambler, Debug

Greetz:

HISTORIA

Sircam fue creado anteriormente como un virus para las maquinas MAC II, este virus anteriormente ponia un mensaje en pantalla cada 50 veces que se prendia la computadora. Creado por ahi de los años 80 fue un simple chiste creado por un niño de 14 años. Este es considerado el primer virus para una computadora conocido.

INTRODUCCION

Todos hoy en dia sabemos lo devastadores que pueden llegar a ser los virus uno nuevo hizo su arribo a la red... Su nombre... SIRCAM, las compañias de antivirus y medios de seguridad lo llaman:

PANDA SOFTWARE..... W32/SirCam 
SYMANTEC........... W32.Sircam.Worm@mm 
SOPHOS............. W32/Sircam-A 
F-SECURE........... Sircam 
NAi................ W32/SirCam@MM

Veamos una ficha tecnica de el virus.

FICHA TECNICA

El arribo de Sircam o de sus primeras apariciones se dieron el 17 de julio, este comenzo a tomar su forma de gusano al distribuirse masivamente como muchos virus de su clase. Los gusanos que tienen el fin de afectar hoy en dia no solo a usuarios sino a administradores de servidores de correo, y en general.

COMO TRABAJA

Sircam toma una forma amigable se presenta con la frase hola... Como estas? y nos Vemos Pronto Gracias... como primera y ultima linea del cuerpo del mensaje.

El correo pide que puebes un programa para que le digas que te parece.....

El mensaje que se autoenvia se compone de la siguiente forma:

------------------------------------------------------------------- 
|  Asunto: [El archivo que contiene el virus sin extencion]       | 
------------------------------------------------------------------- 
|  Cuerpo:                                                        | 
|  Primera Linea: "Hola como estas?"                              | 
|  El programa cueta con lineas variables en diferentes idiomas   | 
|  como las siguientes:                                           | 
|  "Te mando este archivo para que me des tu punto de vista...    | 
|  "Espero me puedas ayudar con el archivo que te envio"          | 
|  "Espero que te guste el archivo que te envio"                  | 
|  "Este es el archivo con la informacion que me solicitaste"     | 
|  Ultima Linea: "Nos vemos Pronto, gracias."                     | 
------------------------------------------------------------------- 
| Atachment: Archivo con doble extension o cpon extension sencilla| 
-------------------------------------------------------------------

!!!!!Como repito todo esto puede darse en difereNtes idiomas!!!!!

El gusano pretende ser un mail amigable, un archivo util, algo que nos va a servir, pero es todo lo contrario... El atachment como dije puede contener dos extensiones entre las que estan:

  • .GIF,
  • .JPG,
  • .JPEG,
  • .MPEG,
  • .MOV,
  • .MPG,
  • .PDF,
  • .PNG,
  • .PS,
  • .ZIP,
  • .FLA,
  • .SWF,
  • .HTML,
  • .HTM,
  • .XML,
  • .etc.

Mas tarde viene la segunda extensión que puede ser:

  • .EXE,
  • .COM,
  • .BAT,
  • .LNK o
  • .PIF

En la configuracion de windows la segunda extension no se ve, lo que a muchos usuarios los engaña y deciden ejecutarlo para ver el "programa amigable"

DETALLES DE EJECUCION E INFECCION

Ahora analizemos que hace el virus:

El usuario abre el programa, en un background de procesos vemos como se copia en la papelera de reciclaje o basurero, como x:\RECYCLED\SirC.exe, otra vez el gusano se refugio en una vulnerabilidad de windows, ya que esta carpeta esta oculta. Mas tarde el gusano añade una entrada en registro, con esto el gusano ahora se ejecutara cada vcez que un archivo ejecutable es accionado:

HKEY_LOCAL_MACHINE\exefile\shell\open\command\ 
Defaul="C:\recycled\SirC32.exe" "%1" %" 

HKEY_LOCAL_MACHINE\Software\SirCam

Con los siguientes valores:

  • FB1B - El nombre del gusano que estara en la papelera.
  • FB1BA - La direccion del SMTP
  • FB1BB - La direccion de correo del que manda
  • FC0 - Número de veces que se a ejecutado el virus
  • FC1 - La version del Gusano
  • FD1 - El nombre del gusano sin su extensión.

Ahora Sircam comienza su fase destructiva, crea una lista de archivos de la carpeta de documentos, cuyas extensiones sean: *.gif, *.jpg, *.jpeg, *.mpeg, *.pdf, *.png, *.ps, *.zip. El archivo que contendra dicha lista se llama SCx.DLL y se depositara en Windows\System, Ahora Sircam bajo SCxx.DLL, crea una lista de las direcciones de correo electronico de la lista de contactos o de la lista de direcciones de windows y en la carpeta de archivos temporales de internet.

[x|x puede variar el nombre de acompletamiento del archivo]

[para los que no saben ni un carajo de matematicas x tal que x ok :)]

Existen especies de clones generadas por el mismo virus, esta se da cuando el archivo que esta en attachment contiene "FS2" e no es eguido de "sc".

Cuando esta version ataca todos los archivos de c: cuando sea 16 de Octubre serán borrados, así SirCam actua como una bomba logica también.

Ahora se comenzara a comportar como gusano......

Comienza la subrutina para comportarse como Worm con un SMTP para autoenviarse a las direcciones que almaceno en SCxx.DLL, añadiendo una segunda extension, de esta manera parecera distinto cada vez que se envie.

Tambien tomará una rutina para enviarse a todo el hostname como lo vemos en el source que envio el .gov.br, ademas trae una subrutina preestablecida de reenvio y aparición de un sedmail mexicano "prodigy.net.mx".

ANALIZANDO EL VIRUS

Vision Hexadecimal -

1 
 00000050 5468 6973 2070 726f 6772 616d 206d 7573 
 00000060 7420 6265 2072 756e 2075 6e64 6572 2057 
 00000070 696e 3332 0d0a 2437 0000 0000 0000 0000

Que nos dice esto?
Que este programa solo pora correr en windows 32.

Sigamos analizando

2 
 00000100 5045 0000 4c01 0800 195e 422a 0000 0000 
 00000101 0000 0000 e000 8e81 0b01 0219 00a8 0100 
 00000120 006c 0000 0000 0000 a4a9 0100 0010 0000

Origen

3 
 000001F0 0000 0000 0000 0000 434f 4445 0000 0000

Inicia la Fase de Codigo

4 
 00000400 - 00005640

Se detalla las intrusiones en memoria y procesos ocultos como se escribira el registro, como se buscaran los archivos y demas variables.

5 
 00005650 0000 0945 7863 6570 7469 6f6e a862 4000

Se detalla una excepcion

6 
 00005760 0b45 496e 4f75 7445 7272 6f72 b863 4000

Entradas en memoria

7 
 00005760 - 00007970

Inclusiones, Exclusiones, runlevels, error-runlevels

8 
 000079a0 0008 0900 0000 0001 0aa6 8b40 00e9 8540

Y sigue la yunta andando...... xD

9 
 000079a0 0008 xxxx xxxx xxxx xxxx xxxx xxxx xxxx - 
 000096c0 0c00 0000 8bc3 e86d eaff ffa2 ece5 4100

Codigo Desconocido, o escondido por compilador

10 
 00009700 3000 0000 ffff ffff 0600 0000 6d2f 642d - 
 00009780 0300 0000 3a6d 6d00 ffff ffff 0600 0000

Fijado de relog al CTCM

11 
 00009890 28C1 4100 5bc3 0000 6b65 726e 656c 3332

Entrada del software a KERNEL32.dll y obtencion de espacio libre en disco

12 
 00009890 - 0000fb50

Entradas de memoria

13 
 0000fb60 fb4b 0000 ffff ffff 1700 0000 496e 7465 
 0000fb70 7272 7570 7465 6420 7379 7374 656D 2063 
 0000Fb80 616c 6c00 ffff ffff 0f00 0000 4261 6420 
 0000fb90 6669 6c65 206e 756d 6265 7200 ffff ffff 
 etc etc etc hasta 
 0000dbe0 6d65 6e74 0000 0000 ffff ffff 1300 0000 

14

Detalles de operatura y delimitacion del archivo a copiar y a replicar

 0000fc70 ffff ffff 1d00 0000 536f 636b 6574 206f - 
 00010270 0e41 0064 ff30 6489 20ff 055c e641 0033

Delimitacion de el sistema de automandado a la lista de correos Utilizacion de la red
Aspectos de entrada a la red y runlevels fake runlevels
Parte principal que hace que el virus actue como gusano

15 
 00010290 21eb 1f4f 7574 6c6f 6f6b 2045 7870 7265 - 
 00010400 ifff ffff 0100 0000 2b00 0000 ffff ffff

Utilizacion de Outlook Express y de la lista de direcciones a enviar.
Entrada a categoia TCP/IP y llamada hexadecimal a la opertura de sockets.
Opertura de Microsoft Outlock de forma insegura en background.
Obtencion de la libreta de direccion de windows.
Tareas Programadas por el gusano, para su autorreplicacion.

16 
 00010430 0300 0000 5375 6e00 ffff ffff 0300 0000 - 
 00010510 558b ec83 c4a4 5356 5733 d289 55a4 8945

Fijado de calendarios por el compilador

Demonios no pense que fuera tan extenso....

Sigamos.....

17 
 00010ad0 0000 0954 4d69 6d65 5061 7274 ffff ffff - 
 00010c30 0300 0000 434f 4d00 5356 84d2 7408 83c4

Fijado de MIME.TYPES
DOC aplicacion MS-WORD
GIF image
JPEG image
JPG image
MPEG video
MPG video
PDF text
PNG image
PS PostScript
MOV aplication Quicktime
PIF Shell Shortcut
LNK Acceso dir a conec
BAT lotes de ms-dos
COM.SV para delimitar su patron explicito
EXE ejecutable nomal

18 
 00010d20 8a43 102c 0172 1b2c 0272 0774 14e9 6201

Determinacion de la unidad Logica

19 
 000110f0 - 000111a0

Directivos y conectivos del virus

20 
 00011220 - 00011240

Fijado y busqueda de nombre

21 
 00011350 - 00011360

Creacion y copiado

22 
 00011440 4d45 5353 4147 4500 558b eo6a 006a 006a

Llamada de creacion de mensaje

23 
 00011810 xxxx xxxx xxxx xxxx xxxx xxxx xxxx xxxx

Copiado y replicacion de mensaje a bandeja de salida

24 
 00011880 xxxx xxxx xxxx xxxx xxxx xxxx xxxx xxxx

Mime.Type a Mensaje

25 
 000118c0 6e67 00c3 c824 4100 0e0b 544d 6573 7348

Inicio de creacion del correo electronico

 000118c0 - 00014f40

Correo electronico todo sobre el

Nota: Aqui vi una parte rara, el virus solicita creacion de colores o de alguna variable con referencia a ellos, la experiencia de el que le llego el correo es que carecia de ellos, sera un bug o SirCam Worm Tiene algo raro.....

26 
 00014f40 - 000185f0

Switcheo de los idiomas por variables dictadas en el codigo y encriptadas con el compilador.

PARTE CRITICA DEL VIRUS

27 
 0001ac20 6021 4000 d424 4000 5275 6e74 696d 6520

Proteccion en caso de runtime error suministrada por el compilador.

28 
 0001aca0 0d0a 8bc0 0000 0000 0000 0000 0000 0000 - 
 0001ce50 6b65 726e 656c 3332 2e64 6c6c 0000 0000

Creacion y entrada de diccionario para replicado de archivos a kernel.
Analisis de la lista de direcciones para la creacion de los DLL.
Analisis del mismo para dictado de direcciones y archivos a el dll.
Creacion del dll para ser usado por el gusano.
Utilizacion de dicho DLL para el proceso 25 que aqui explico.

29 
 0001ce60 - 0001d120

Creado de dicho dll y obtencion de parametros para replicacion

30 
 0001d240 - 0001d420

Creacion de la entrada en egistro y proteccion de no borrado de sircam.

31 
 0001d480 - 0001d630

Repliacion y seteado de donde se hubicara el virus
Entrada de los dll y de los archivos a el directorio de windrops.. xD

32 
 0001d680 - 0001d7e0

Copiado de archivos enumeracion de rutinas
urceA.gdi32.dll

33 
 0001d810 - 0001dba0

Punto critico del virus en seleccion de icono
Creado de imagen
Busqueda de HOST
Nombre de Maquina
Creacion de dicha base de datos
Busqueda de sintomas inet para comprobacion de autoenvio de virus...

34 
 0001de00 0010 0000 4801 0000 0000 0030 0c30 2c30 3830 - 
 0001fe40 0000 0c30 0000 0000 0000 0000 0000 0000 0000

Creacion de Base de Datos para los fines del virus
Encripcion de la informacion obtenida en paso 33

35 
 00020280 - 000202c0

Obturacion principal del icono del virus.

36 
 000205a0 - 000207b0

Proteccion al icono

37 
 000207d0 - 00020af0

Proteccion al archivo, icono y fecha de crecion, asi como del copyright

38 
 00020b10 - 000215b0

+ Proteccion para el archivo

39 
 000215f0 0000 0000 1900 0000 01a0 5343 616d 3332

Nombre del virus

40 
 00021600 - 000216f0

Parametros del virus

41 
 00021e00 - 00022770

Detalles de compilador

42 
 00026a00 - 00026a70

Dictado de uid - gid
Para los procesos que abarcara

43 
 00028020 446f 6375 6d65 6e74 6f20 646f 204d 6963

Incongruencia

44 
 00000000 - 000281f0 Cuerpo del programa.

* Pues en si parece un programa bien hecho destinado a colapsar sistemas....
Como me irrita esto.. Pero en fin

[Source code]
JAJAJA pensaban que se los daria nonononono busquenlo..... ,)
Usen su debuger chavos.... xD

Noticias del "DEVASTADOR SIRCAM"

Fuente www.lacompu.com

McAfee, el fabricante de programas antivirus, elevó a "riesgo alto" la categoría de peligrosidad del virus informático "SirCam", devido a su rápida proliferación y precisó que ya afecta al menos a 80 empresas corporativas en México. En un comunicado, la filial mexicana de la firma estadunidense anunció que sólo este día ha recibido más de 300 reportes de ataques del virus informático en sus laboratorios en California.

Otros 150 reportes fueron hechos en Chile y 50 en Argentina.

El programa destructivo fue lanzado a Internet el pasado martes 17 de julio.

Agregó que el virus, cuyo nombre técnico es "W32/SirCam@MM", tiene origen desconocido aunque al parecer proviene de un país hispano ya que puede ser recibido mediante un correo electrónico con un mensaje en español. Algunas fuentes señalan que fue desarrollado en México.

Wendy López, gerente de soporte técnico de McAfee -México, recomendó a los usuarios íque se aseguren de escanear los archivos con extensiones .LNK y .PIF y a que se ha identificado como un medio de propagación". Sugirió a los usuarios de Internet conectarse a la dirección: http://www.mcafee.com/myapps/vso/default.asp, o mandar un ejemplo a: http://www.webimmune.net para ser analizado.

El virus SirCam intenta enviarse a si mismo y a documentos locales, a todos los usuarios encontrados en la Libreta de Direcciones de Windows (Windows Address Book), y a las direcciones de correo encontradas en los archivos temporales de Internet.

Este virus puede ser recibido mediante un correo electrónico conteniendo la siguiente información "Hola como estas ?" "Te mando este archivo para que me des tu punto de vista", "Espero me puedas ayudar con el archivo que te mando", "Espero te guste este archivo que te mando", "Este es el archivo con la información que me pediste" "Nos vemos pronto, gracias".

..... Entre otras..... muchas mas historias.... Ahora digo querias fama
programador........ LA TIENES.

Multiples advertencias, boletines, etc etc etc por parte de FBI, el pentagono, compañias de antivirus, etc.

ERRADICACION O VACUNA

Pues paseando por Red-Latina vi que en el motd estaba una dir para erradicar el gusano sircam. Es un programa que corre en la shell espero te sirva

www.vernomland.com/pqremove.com es uno de los zites

Otra manera es borrando el archivo desde la shell y editar los registros, asi como los dlls que se crean en fin borrar toda rama que quede de el.

INCONGRUENCIAS Y COSAS RARAS

Se maneja en el source code del virus y al momento de ejecucion : ...

[SirCam Version 1.0 Copyright (c) 2001 2rP Made in / Hecho en - Cuitzeo Michoacan México]

Pero como un mexicano revelaria de donde es, siendo que cuitzeo es un pueblo jodido en el que habra a lo mucho 5 maquinas.... Osea pinche rancho que demonios sucede....

Al parecer no hay servicio de dial up activo en ese paraje alejado de las manos de DIOS.

En el debug se señala la utilizacion de un programa en portugues para loggear y replicar ademas de la utilizacion de compiladores no nacionales ni estadounidenses....

Sera acaso un mexicano pendejo que usa warez portugues o sera un pinche brasileño que quiere vengarse de los mexicanos porque los defaces en contra de paginas gubernamentales son ya deplorables para la comunidad... ????

Sera acaso que hay una ciber-guerra entre mexico y Brasil......

Sera algun otro pelado de otro pais que esta jugando una broma pesada....

Sera un pendejo de otro pais ke sabe que la ley esta cerca y prefiere hecharle la culpa de su creacion a unos tragafrijoles, morenos como nosotros......

Sera acaso que un brasileño visito michoacan, se quedo sin dinero y termino teniendo sexo con alguna persona de cuitzeo que le conto la historia de dicho municipio.

Un asunto realmente raro....

Porque los primeros insidente sse dieron de ordenadores brasileños a mexicanos

Porque la utilizacion de el SMTP default de prodigy.... DIOS que mundo mas loco... Pero dejemos al FBI, CISEN, PFP y demás personas indagar en dicho tema... xD. No nos metamos en problemas que no nos conciernen.

OPINION PERSONAL

En la actualidad se revivio a este pequeño juguete que explique en la historia de SirCam para crear una obra dañina y de muy mal gusto, el que pretende ser un programa hecho por un simple programador que quiere ver que tan bien esta hecho dicho software, con frases amigables saludando y despidiendose de la victima, lo insita a creer en ella y que finalmente el virus sea activado....

Programado por algun latinoamericano el virus se comporta como un amigo, como alguien que quiere estar en tu maquina para hacerte feliz, un archivo que tu necesitabas, cruzando la barrera del lenguaje, W32.Sircam.Worm@mm como las compañias, antivirus lo han llamado, te habla en tu propio idioma xD, no sin antes darte una patada en el trasero al ser ejecutado.

Me parece una obra de alguien que necesita ayuda no solo psicologica sino de toda forma... Un asco en verdad, una alegoria de un defacement, el creador un programadorsillo..... [Porque no te pones a programar cosas que ayuden a la humanidad y no cosas como esta que en verdad son un asco]. Aprovecharte de usuarios de esa famosa porqueria llamada Windows.. en fin.

Ya me pronuncie en contra de toda esta vasofia ahora veamos que onda con el virus.

Bueno aquí concluye mi investigación, si encuentras algo que se me paso, porfa hazmelo saber a anthrax@acidklan.org, gracias.

Saludos a todos... :)

By anthrax
anthrax@acidklan.org

← previous
next →
loading
sending ...
New to Neperos ? Sign Up for free
download Neperos App from Google Play
install Neperos as PWA

Let's discover also

Recent Articles

Recent Comments

DrWatson's profile picture
@DrWatson
12 May 2024
And also in this article the legendary civilization of Atlantis is present!
guest's profile picture
@guest
12 May 2024
I’ve read this digest for years. It has been a great source of mead making information.
guest's profile picture
@guest
11 May 2024
무섭다
guest's profile picture
@guest
10 May 2024
ㄷㄷㄷㄷ
guest's profile picture
@guest
9 May 2024
nice video
guest's profile picture
@guest
9 May 2024
Thank you for posting it. A lot of interesting infos how to make beer at home
guest's profile picture
@guest
8 May 2024
very tasty
guest's profile picture
@guest
8 May 2024
I like the old PC-viruses. They were very popular in the 90s
guest's profile picture
@guest
8 May 2024
Sabung Ayam Online
guest's profile picture
@guest
7 May 2024
I like the idea of using Caraffa to color the beer
a Francesco Arca production 2016 - 2024
Terms of Service - Privacy Policy
neperos on mastodon
Neperos cookies
This website uses cookies to store your preferences and improve the service. Cookies authorization will allow me and / or my partners to process personal data such as browsing behaviour.

By pressing OK you agree to the Terms of Service and acknowledge the Privacy Policy

By pressing REJECT you will be able to continue to use Neperos (like read articles or write comments) but some important cookies will not be set. This may affect certain features and functions of the platform.
OK
REJECT