Förord

Oftast så beskrivs virus som katastrofala, destruktiva och helt jävliga. Det stämmer mycket bra, ett av den senaste i raden av hemska virus är Sircam eller W32.Sircam.Worm@mm som jag själv har råkat ut för. Jag har ingen aning om hur jag fick det, men det ska inte den har artikeln handla om, den ska istället beskriva hur man tar bort det och vad det egentligen ställer till med.

Innehåll

  » Vad händer om jag har blivit smittad av Sircam?
  » -Jag har fått ett mail jag tror är smittat med Sircam.
  » -Nå, hur ska man då göra för att bli av med viruset?
  » Hur skyddar jag mig i framtiden?

När jag kopplade upp mig på internet så frågade min brandvägg, ZoneAlarm, mig om jag ville tillåta Sirc32.exe tillgång till internet. Jag sa att den inte skulle göra det då jag redan visste att det var ett virus. Och tur var väl det, längre ner kommer ni att förstå varför detta var smart av mig.

Vad händer om jag har blivit smittad av Sircam?

Jo, först och främst kan du inte starta något program och så säger Windows till att filen \recycled\Sirc32.exe är skadad och måste installeras om. Om man vill installera om Sirc32.exe och letar efter katalogen \recycled så upptäcker man snabbt (beroende på hur avancerad man är) att den katalogen är Papperskorgen.

Viruset är så pass elakt att det den 16 oktober raderar allt som finns på den hårddisk Windows är installerad, men chansen är 1 på 20. De andra dagarna på året så är finns det 1 chans på 50 att den fyller filen \recycled\sircam.sys med:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
eller
[SirCam Version 1.0 Copyright 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]
så att hårddisken kraschar.

När man väl har blivit infekterad (hemska tanke) så söker den igenom Windows Adressbok efter att adresser att sprida sig till, den söker även igenom Temporary Internet Files innehåll efter e-mail adresser för att även i det här fallet sprida sig vidare. Den försöker också att skicka e-mail till slumpartade adress till någon följande mail-servrar:

prodigy.net.mx
goeke.net
enlace.net
dobleclick.com.mx

-Jag har fått ett mail jag tror är smittat med Sircam.

Okej, då är det dags att analysera mailet, vi börjar på punkt 1. Den bifogaden filen heter "Mobbning.doc.pif" och tar 216 kb, inget normalt word-dokument med cirka två sidor text tar så mycket, om det då inte är fyllt med bilder. I alla fall, "pif"-tillägget gör också att dokumentet kan startas efter nerladdning, dock inte utan användarens medverkan. Dags att kolla lite på ämnet, punkt 2. Mailet har samma ämne som filen som den bifogade filen för att inte väcka misstankar. På punkt 3 hittar vi det mest avslöjande, varför skulle en svensk skicka ett mail till mig och sen skriva på engelska? Personen har ju till och med inte skrivit under mailet.

(Notera att det här är ett riktigt mail från en jag inte känner. Se bild.)

När viruset sprids så söker den igenom Mina Dokument efter doc-filer och fäster sig vid dem för att sedan skicka dem vidare. Det här mailet fick en kompis skickat till sin hotmail-adress. Som ni ser, ämnet beror på vad filen heter och men själva meddelandet är likandat. (Se bild)

-Nå, hur ska man då göra för att bli av med viruset?

Om man känner för det kan man formatera om datorn och börja om från början, men är inte alltid så kul. Så långt behöver det inte gå om man väl hinner åtgärda problemet i tid. De få timmar Sircam fanns på min dator så hittade jag mycket bra information på internet, dock kanske lite väl avancerade på sina ställen. Ett misstag som ett företag gjorde var att göra sitt verktyg i form av en exe-fil, detta resulterar i att även verktyget blir smittat.

Det verktyg som tog bort Sircam från min dator på ungefär 20 minuter, skapades av Symantec (de som gör Norton). Programmet kan laddas hem från följande adress, http://www.sarc.com/avcenter/FixSirc.com.



De har lyckats mycket bra med det här verktyget då det är lätthanterligt och i form av en com-fil och kan inte smittas av viruset. Innan du kör FixSirc så är det viktigt att du stänger ner ALLA program som för tillfället körs, även ditt antivirusprogram. När du väl gjort det så är det bara att starta FixSirc, under tiden kan du ta en fika, röka, titta på TV eller stanna vid datorn.

Hur skyddar jag mig i framtiden?

Det kan vara väldigt smart att installera en brandvägg, t.ex ZoneAlarm som kan laddas ner gratis från www.ZoneAlarm.com. Ett antivirusprogram kan också vara att föredra, säkrast är också att uppdatera det flera gånger i veckan då virus skapas hela tiden.

Man ska heller inte öppna bilagor från folk man inte känner, och även om man känner personen som har skickat just det där mailet så bör man vara mycket försiktig om det är en exe, pif, lnk, com, eller vbs-fil. Då dessa har en förutsättning att vara just virus. Något annat man också bör tänka på är att göra säkerhetskopior på det man anser vara viktigt. Hoppas ni har lärt er något nytt. Surfa lugnt i framtiden.

/Johan "Hjorten" Hjort

0 Kommentarer

Skriv en kommentar på artikeln

Ditt betyg på artikeln

UtmärktLäsvärdIntressantMindre braDålig

Kommentar: