ชื่อ : W32.Sircam.Worm@mm
ค้นพบเมื่อ : 17 กรกฏาคม 2544
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : W32/Sircam@mm, Backdoor.Sircam

คำแนะนำในกำจัด Sircam
** ก่อนรันเครื่องมือใดๆ ให้ลบ temp file ที่มีอยู่ทั้งหมด รวมทั้ง Internet Temporary Files ของ browser ที่มีอยู่ทั้งหมดในเครื่องของท่านออกเสียก่อน เพราะเครื่องมือบางตัวนั้นจะ scan ทุกไฟล์ที่อยู่ใน drive C: ของท่าน ซึ่งจะทำให้เสียเวลามาก
** ให้ดึงสาย LAN ของท่านออก หรือยกเลิกการใช้โมเด็ม เพื่อป้องกันไม่ให้ไวรัสส่งเมล์ออกไปได้อีก
** ให้ Disable network sharing มีอยู่ในเครื่องของท่าน ทั้งนี้เพราะภายหลังการกำจัดไวรัสตัวนี้แล้ว ท่านอาจจะติดใหม่ได้อีกครั้งผ่านทาง network sharing ที่อยู่ในเครื่องของท่าน

วิธีกำจัด Sircam ออกจากระบบโดยใช้เครื่องมือจาก symantec.com <recommended>
1. download เครื่องมือนี้จากเว็บไซต์ http://www.symantec.com/avcenter/FixSirc.com หรือจากที่นี่   (68 KB)
2. รันไฟล์ FixSirc.com ที่ได้ download มาแล้ว
3. จากนั้นโปรแกรมก็จะทำการ scan และลบไฟล์ที่เป็นไวรัส พร้อมทั้งแก้ไข registry และแก้ไข autoexec.bat ให้

วิธีกำจัด Sircam ออกจากระบบโดยใช้เครื่องมือจาก pandasoftware.com
1. download เครื่องมือจากเว็บไซต์ของ pandasoftware.com ที่ http://www.pandasoftware.com/library/pqremove.com หรือจากที่นี่  (1.99 MB)
2. จากนั้นก็รันไฟล์ pqremove.com เพื่อกำจัด Sircam
3. จากนั้นโปรแกรมก็จะทำการ scan และลบไฟล์ที่เป็นไวรัส พร้อมทั้งแก้ไข registry

สำหรับผู้ใช้ที่ติดตั้ง Mcafee Virus Scan ไว้ในเครื่องที่ติดไวรัสแล้ว
- ทางทีมงานได้ทดลอง download SuperDat ตัวล่าสุดจากเว็บไซต์ของ mcafee.com และทดลองรันไฟล์ .exe ชนิดนั้น ปรากฏว่าไม่สามารถรันได้ เนื่องจากไวรัสตัวนี้ได้ไปแก้ไขใน registry ในส่วนของ HKEY_CLASSES_ROOT\Exefile\Shell\open\command ซึ่งทุกครั้งที่เรารันไฟล์ exe ก็จะเป็นการรันไวรัสนี้ทุกครั้ง และภายหลังจากการแก้ไข registry เพื่อให้สามารถรัน SuperDat ได้ จากนั้นได้ทดลองรัน Mcafee Virus Scan ซึ่งสามารถพบไฟล์ไวรัสและผู้ใช้จำเป็นต้องเลือกที่จะลบไฟล์นั้นเอง และจากการตรวจสอบภายหลังการ scan เสร็จสิ้นพบว่า Mcafee ไม่ได้แก้ไข registry ให้ ดังนั้นจึงแนะนำให้ใช้เครื่องมือกำจัดไวรัสชนิดนี้จาก symantec.com และ pandasoftware.com แทน

ความเสียหายที่เกิดขึ้น

• มันจะสุ่มหาไฟล์ document ภายในเครื่องที่ติดเชื้อแล้ว และส่งอี-เมล์ออกไป
  
• มีโอกาส 1 ใน 20 ที่มันจะลบไฟล์และโฟลเดอร์ทั้งหมดในไดรฟ์ C: ซึ่งจะเกิดขึ้นเมื่อเครื่องที่ติดเชื้อนั้นตั้งค่า Short date format เป็น D/M/Y (เกิดขึ้นในวันที่ 16 ตุลาคม ของทุกปี) โดยใน Windows ทุกเวอร์ชัน สามารถดูค่านี้ได้จากเมนู Start -> settings -> control panel -> Regional Options ซึ่งใน tab ที่ชื่อ Date จะมีค่าของ Short date format นั่นเอง
  
• มีโอกาส 1 ใน 33 ที่มันจะใช้พื้นที่ในฮาร์ดดิสก์จนเต็ม โดยการเพิ่มข้อมูลใน text ไฟล์ที่ c:\recycled\sircam.sys ในทุกครั้งที่ startup
  
• เนื่องจากมันจะสุ่มหาไฟล์ document จากฮาร์ดดิสก์ของเรา เพื่อนำไปต่อท้ายไฟล์ execute ของมันแล้ว ดังนั้นจึงมีโอกาสที่ข้อมูลที่มีความสำคัญอาจจะถูกเผยแพร่ออกไปได้

การกระจายตัวผ่านทางอี-เมล์

• จะใช้ชื่อ subject ของอี-เมล์ตามชื่อไฟล์ที่แนบมากับอี-เมล์ ดังนั้น subject ของอี-เมล์จึงมีได้หลายรูปแบบมาก
  
• ในกรณีที่เครือข่ายนั้นมีการ share ข้อมูลผ่านเครือข่าย มันจะ copy ตัวมันเองไปยัง share resource ที่มันค้นพบ
  
• ข้อความภายในอี-เมล์ จะเป็นลักษณะการกึ่งสุ่ม (semi-random) ดังนี้

  Spanish Version
  First line : Hola como estas ?
  Last line : Nos vemos pronto, gracias.

  English Version
  First line : Hi! How are you?
  Last line : See you later. Thanks

  สำหรับข้อความบรรทัดกลางจะสุ่มจากข้อความดังต่อไปนี้
  Spanish Version
  Te mando este archivo para que me des tu punto de vista
  Espero me puedas ayudar con el archivo que te mando
  Espero te guste este archivo que te mando
  Este es el archivo con la informaci=n que me pediste

  English Version
  I send you this file in order to have your advice
  I hope you can help me with this file that I send
  I hope you like the file that I sendo you
  This is the file with the information that you ask for
  

คำแนะนำสำหรับผู้ดูแลระบบ / Advanced User
1. ไวรัสชนิดนี้สามารถติดต่อได้ 2 ทาง คือ ผ่านทางอี-เมล์ และผ่านทาง network sharing ซึ่งการกำจัดไวรัสที่ติดต่อผ่านทางอี-เมล์โดยใช้โปรแกรมด้านบนช่วยนั้นส่วนใหญ่จะสามารถกำจัดได้ตามปกติ แต่การกำจัดไวรัสที่ติดมาทั้งจากอี-เมล์และ network sharing นั้น บางครั้งเครื่องมือด้านบนอาจจะไม่สามารถแก้ไขได้
2. ข้อสำคัญคือ การป้องกันไม่ให้เครื่องในองค์กรที่ได้กำจัดไวรัสไปแล้ว กลับมาติดไวรัสอีกครั้ง ไม่ว่าจะเป็นทางอี-เมล์และทาง network โดยการป้องกันการติดไวรัสผ่านทาง network นั้น ควรงดการ share โฟลเดอร์ และควรแจ้งข่าวให้ผู้ใช้ในองค์กรของท่านพึงระวังในการรับอี-เมล์
3. ท่านสามารถแก้ไขโดยวิธี manual ได้ ในกรณีที่โปรแกรมช่วยด้านบนไม่สามารถแก้ไขได้สมบูรณ์ดังนี้

• การทำงานกับไฟล์เหล่านี้นั้น บางไฟล์มี hidden attribute ท่านจำเป็นต้องใช้คำสั่ง dir/a เพื่อดู hidden file ด้วย หรือใช้คำสั่ง attrib -h file_name
• %Temp% หมายถึงตัวแปรระบบ เช่น c:\windows\temp ใน Windows98
• %System% หมายถึงตัวแปรระบบ เช่น c:\windows\system ใน Windows98
• การทำงานกับ registry ให้รันไฟล์ regedit.com เท่านั้น (วิธีสร้างไฟล์ regedit.com Start > Run > พิมพ์ command.com > พิมพ์ cd\windows (หรือ cd\winnt ใน Win2k/NT) > copy regedit.exe regedit.com )

1. แก้ไข registry โดยลบ key ที่ HKEY_LOCAL_MACHINE\Software\Sircam ทั้งหมด
2. แก้ไข registry key ที่ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices โดยลบ subkey ชื่อ Driver32=%System%\scam32.exe
3. แก้ไข registry key ที่ HKEY_CLASSES_ROOT\Exefile\Shell\open\command จากนั้นเราจะมองเห็น key ที่ชื่อ "Default" ซึ่งจะมีค่าเป็น C:\recycled\Sirc32.exe "%1" %* ให้ double-click ค่าดังกล่าว และลบค่าดังกล่าวทิ้งไป และพิมพ์ใหม่ให้มีค่าเป็น "%1" %* (quote-percent-one-quote-space-percent-asterisk)
4. ตรวจสอบ path จาก registry ที่ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup ในกรณีที่พบไฟล์ "Microsoft Internet Office.exe" ก็สามารถลบได้ทันที
5. restart เครื่องของท่านใน safe mode command prompt
6. ลบไฟล์ของไวรัสทั้งหมด ดังนี้ %System%\scam32.exe , c:\recycled\sirc32.exe , c:\recycled\sircam.sys , %System%\scmx32.exe (ในบางเครื่องไม่จำเป็นต้องมีไฟล์ครบตามที่แสดงไว้)
7. ใน c:\windows ไวรัส จะ copy ตัว rundll32.exe ของเดิมไปเป็นชื่อ run32.exe ดังนั้น กรณีที่พบไฟล์ run32.exe ให้ทำการ copy กลับไปทับไฟล์ rundll32.exe (ข้อสังเกต rundll32.exe ใน Win98 เดิมมีขนาดประมาณ 24 KB ส่วน ในขณะที่ขนาดไฟล์ที่ไวรัสสร้างขึ้นมาใหม่จะมีขนาดประมาณ 137 KB)
8. ตรวจสอบไฟล์ autoexec.bat ลบบรรทัดที่มีข้อความ @win \recycled\SirC32.exe
9. ลบทุกไฟล์ที่อยู่ใน c:\recycled และ %Temp%
10. restart เครื่องของท่านอีกรอบ เพียงเท่านี้เครื่องท่านปลอดภัยจากไวรัส Sircam แล้ว
11. เพื่อความมั่นใจท่านอาจจะใช้เครื่องมืออื่นในการตรวจสอบ โดยการ scan เครื่องของท่านอีกครั้ง

สิ่งที่เกิดขึ้นเมื่อรันไฟล์ attachment ที่มากับอี-เมล์
1. มันจะสร้างตัวมันเองขึ้น โดยการ copy attachment file ไปไว้ที่ %TEMP%\<filename> และ c:\Recycled\<filename> จากนั้นมันก็จะรันไฟล์ application ที่รีจิสเตอร์เพื่อรองรับ document ชนิดนั้น เช่น กรณีที่เป็น .doc ก็จะรัน Microsoft Word หรือ Wordpad กรณีที่เป็น .xls ก็จะรัน Microsoft Excel หรือกรณีที่เป็น .zip ก็จะรัน WinZip
** %TEMP% หมายถึงตัวแปร Temp ซึ่งปกติแล้วจะอยู่ที่ c:\windows\temp
** <filename> คือชื่อไฟล์ document ที่ส่งแนบมากับอี-เมล์

2. มันจะ copy ตัวมันเองไปยัง c:\Recycled\Sirc32.exe และ %System%\Scam32.exe
** %System% หมายถึงตัวแปร เช่น c:\windows\system

3. มันจะแก้ไข registry โดยการเพิ่มค่า Driver32=%System%\scam32.exe ที่ key ของ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

4. จากนั้นก็จะสร้าง key ขึ้นมาใหม่ที่ HKEY_LOCAL_MACHINE\Software\Sircam โดยมีค่าดังนี้
- FB1B : ใช้เก็บชื่อไฟล์ของมันเองที่เก็บไว้ใน Recycled directory
- FB1BA : เก็บค่า IP address ของ SMTP server
- FB1BB : ใช้เก็บค่า email address ของผู้ส่ง
- FC0 : ใช้เก็บค่าจำนวนครั้งที่มันถูกรัน
- FC1 : ใช้เก็บค่า version number ของมันเอง
- FD1 : ใช้เก็บค่าชื่อไฟล์ที่ถูกรัน โดยไม่รวมค่า suffix หลังสุดของ extension

5. ทำการเปลี่ยนแปลงค่า default value ของ HKEY_CLASSES_ROOT\exefile\shell\open\command ไปเป็น c:\recycled\sirc32.ex "%1" %* ซึ่งหมายความว่าทุกครั้งที่เรารัน exe ไฟล์ ก็จะเป็นการรันตัวมันเองทุกครั้ง

6. มันจะตรวจสอบหา network resource ที่ share ไว้ ในกรณีที่พบมันจะ
- copy ตัวมันเองไปยัง <Computer>\Recycled\Sirc32.exe
- เพิ่มคำสั่ง "@win \recycled\sirc32.exe" ไปที่ไฟล์ <Computer>\Autoexec.bat
- copy <Computer>\Windows\Rundll32.exe ไปที่ <Computer>\Windows\Run32.exe
- แทนที่ไฟล์ <Computer>\Windows\Rundll32.exe ด้วย c:\Recycled\Sirc32.exe

7. มีโอกาส 1 ใน 33 ที่เหตุการณ์ดังนี้จะเกิดขึ้น
- copy ตัวมันเองจาก c:\Recycled\Sirc32.exe ไปยัง %Windows%\Scmx32.exe
- copy ตัวมันเองไปเป็น "Microsoft Internet Office.exe" ไปยังโฟลเดอร์ที่ระบุใน HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup

8. ถ้ามันสามารถทำได้ในข้อที่ 7 มันจะสร้างไฟล์ c:\recycled\Sircam.sys ขึ้นมาเพื่อทำให้ฮาร์ดดิสก์เต็ม และเพิ่มข้อมูลไปเรื่อยๆ จนกระทั่งฮาร์ดดิสก์เต็ม โดยข้อมูลใน sircam.sys นั้น เป็น string 1 ใน 2 อย่างนี้คือ
- [SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
- หรือ [SirCam Version 1.0 Copyright 2000 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]

9. มีโอกาส 1 ใน 20 ที่มันจะลบไฟล์และโฟลเดอร์ทั้งหมดในไดรฟ์ C: ซึ่งจะเกิดขึ้นเมื่อเครื่องที่ติดเชื้อนั้นตั้งค่า date format เป็น D/M/Y (เกิดขึ้นในวันที่ 16 ตุลาคม ของทุกปี)

10. ขั้นตอนนี้คือการค้นหา email address โดยจะใช้ 2 วิธีคือ
- ค้นหาจากโฟลเดอร์ที่ปรากฏใน HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup\Cache โดยจะค้นหาไฟล์ sho*., get*., hot*., *.htm จากนั้นก็จะ copy email address ที่พบไปไว้ยัง %Windows%\s??.dll (? คือ random letter & number)
- ค้นหาไฟล์ *.wab (Windows Address Books) ภายในไดรฟ์ และจะ copy addresses จากไฟล์นั้นๆ

11. จากนั้นก็จะค้นหาโฟลเดอร์ที่ปรากฏใน HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup\Personal
และHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\shell Folders\Startup\Desktop โดยจะค้นหาไฟล์ .doc,.xls, .zip, .exe จากนั้นก็จะนำไฟล์นั้นๆ ไปต่อท้ายไฟล์ execute ของตัวของมันและแนบไปกับอี-เมล์