Tydzień wirusa
Z serii „Tydzień wirusa”, prezentujemy kolejną porcję nowych robaczków internetowych które zagościły w naszej internetowej sieci. Na pierwszy rzut taśmy idzie Sircam który jest rozbudowanym robakiem internetowym. Naszym następym gościem jest Fage – wirus plików wsadowych i na koniec Wirus Yang – który działa tylko w Windows XP.
Sircam to robak internetowy który rozsyła się pocztą elektroniczną oraz zawiera procedury destrukcyjne. Zwykle pojawia się w komputerze ofiary jako załącznik do automatycznie generowanego listu elektronicznego, napisanego po angielsku lub hiszpańsku.
Temat: [nazwa pliku załącznika]
Treść: Hi! How are you? lub Hola como estas ? [losowo wybrane zdanie]
See you later. Thanks lub Nos vemos pronto, gracias.
Załącznik: SirC32.exe lub Tech Specs and Financials.doc.com
Gdy nastąpi uruchomienie wirusa, tworzy on sobie własne kopie w katalogu Kosza oraz w katalogu plików tymczasowym. Robak tworzy także dodatkowe swoje kopie w plikach c:\recycled\sirc32.exe oraz scam32.exe w katalogu systemu Windows, a także modyfikuje Rejestr w taki sposób, aby plik scam32.exe był uruchamiany przy każdym starcie systemu Windows. Rejestr zawiera także klucz wirusa który jest przez niego wykorzystywany do masowej wysyłki pocztą elektroniczną:
HKEY_LOCAL_MACHINE\Software\SirCam, oraz zmodyfikowaną wartość dotyczącą obsługi plików z rozszerzeniem .exe, czego efektem jest uruchamianie robaka wraz każdym plikiem tego typu.
Mało tego. Wirus Sircam tworzy także na dysku plik c:\recycled\sircam.sys, w którym zapisuje nieprzerwanie tekst [SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX], aż do momentu zapełnienia całego wolnego miejsca na dysku. Ponadto 16 października może on uruchomić procedurę usuwania wszystkich plików z dysku C:
Do rozsyłania swojej kopii, robak używa własnego mechanizmu który posiada obsługę SMTP, natomiast adresy pobiera on z plików książek adresowych i bufora przeglądarki internetowej. Do wysyłanych wiadomości wirus dołącza także znalezione na Pulpicie pliki .doc, .xls, .zip, i .exe, do których dołącza własny kod.
Fage jest wirusem plików wsadowych, który tworzy z siebie plik wykonywalny. Ze względu na błędy w kodzie, jego działanie powoduje zawieszenie się komputera.
W momencie uruchomienia wirusa wyłącza on klawiaturę, aby uniemożliwić przerwanie jego pracy przez użytkownika. Następnie wirus tworzy w bieżącym katalogu plik o nazwie $.com. Kolejny etap jego działania to wyszukanie wszystkich plików wsadowych, które dostępne są przez ścieżkę systemową i próbuje wykorzystać je do uruchomienia programu $.com. Efektem tego jest zawieszenie się komputera.
Yang to wirus który został napisany w języku Visual Basic Script. Jego działanie polega na rozsyłaniu się pocztą elektroniczną oraz nadpisywaniu plików HTML. Szkodnik działa jedynie w systemie Windows XP, tak więc operatorzy systemów z serii Windows9x/ME/2000/NT mogą spać spokojnie.
Wirus pojawia się jako kod ukryty w treści listu elektronicznego zapisanego w formacie HTML:
Temat: Fw: Free Porno XXX Sites!!
Treść: There’s some great links at […].
P.S. Don’t tell your BOSS! 
Wirus ten uaktywni się jedynie wtedy, gdy na komputerze ofiary jest zainstalowany system operacyjny Windows XP lub moduł Microsoft Outlook 2000 View Control.
Po uruchomieniu Yang rozpoczyna procedurę masowej dystrybucji – wysyła listy elektroniczne ze swoimi kopiami do wszystkich adresatów z książki adresowej systemu Windows. Następnie wyświetlane jest okienko dialogowe z komunikatem:
You’ve been slammed by VBS/YangMsg@mm, a wonderful new work by Yang & ESOng. Office XP bites!! Get used to it!
VBS/YangMsg@mm is Copyright (c) Yang&ESOng, 2001 Thank you Microsoft / Bill Gatez! What would this world be without you…