SirCam,W32.Sircam,TROJ_SIRCAM
2001年7月中旬に発見されたウイルスの特性を持ったワーム。
2001年8月末までに230万台のコンピューターに感染。
経済的損失は10億ドルといわれる。
友人からの電子メールを装って届き,添付ファイルを開くと活動を開始。
ランダムに選択された件名の付いた電子メールメッセージに添付されてくる。
メッセージ本文もやはりランダムに選ばれ,文頭と文末の行は,英語版ではかならず「Hi! How are you?」と「See you later. Thanks」に,
スペイン語版ではかならず「Hola como estas?」と「Nos vemos pronto, gracias」になっている。
これが活動を開始すると,自らを『c:\Recyled\SirC32.exe』としてコピーし,
同時に『SCam32.exe』というコピーをウィンドウズの System フォルダにも作る。
『SirC32.exe』ファイルは,実行可能(.exe)ファイル起動時のデフォルトのコマンドとしてレジストリーに登録され,
『SCam32.exe』ファイルはドライバーとして登録されることで,システムが再起動されるとこれも一緒に起動する。
次に,Outlook の「アドレス帳」に載っているすべての電子メールアドレスと「Temporary Internet Files(インターネット・キャッシュファイル)」フォルダの中のウェブページの電子メールアドレスを取り出してリストにし,
System フォルダ内に『scw1.dll』などといった名前のファイルを作る。
それから,感染したコンピューターのハードディスクと,そのコンピューターがアクセスしている全ドライブをスキャンする。
「マイドキュメント」フォルダの中身を調べ,『.doc』,『.zip』,『.jpg』といった特定の拡張子を持つファイルのリストを作り,
そこから無作為にファイルを1つ選び出すと,電子メールにそのファイルと自らのコピーを添付して送信する。
つまり,感染したコンピューターにあるファイルを使って,電子メールの件名,本文,添付するテキストを作成する。
その際,独自の簡易メール転送プロトコル(SMTP)エンジンを使ってメールサーバーに直接接続し,ドキュメントとウイルスを添付した電子メールを,
先に作っておいたリストに載っている全アドレス宛に送信する。
このとき1通ごとに件名や添付ファイル名を変える。
これにより,ウクライナ政府の機密文書や FBI から個人情報などがメールで外部の送られた。
また,組み込まれている電子メールプログラムは,偽のアドレスを作成できるとも言われる。
通常のワームと異なる点は,感染したパソコンの「ごみ箱」のなかに入り込む点である。
また,ネットワークリソースを探して,接続されているシステムにも増殖する。
さらに,パソコンに秘密の設定をした上,偶然いくつかの条件がそろうと,破壊的な行動に出る。
33分の1の確率で,ハードディスク内の未使用スペースをテキストで埋め尽くして占領するか,
あるいはハードディスクの中身を全部削除するか,そのいずれかをランダムに選ぶ。
感染したパソコンにヨーロッパ式の日付表示(日/月/年)が設定してあると,20分の1の確率で,
10月16日にハードディスク上のあらゆるファイルとフォルダーを削除してしまう。
なお,ワクチンにより SIRCAM.A,TROJ_SIRCAM.A と表示される場合もある。
ウイルス対策ソフトウェア企業の英ソフォス(Sophos)社によると,サーカムは2001年7月に報告のあった全ウイルス感染件数の65%を占めた。
同社がウイルスの追跡調査を開始した1998年以来,この記録に匹敵する数字を示したウイルスは他にない。
他のウイルス対策企業のリストからも同様の傾向がうかがえる。
英メッセージラボ社や米セキュリティーポータル社の史上最も活発なウイルスの被害リストでは,サーカムが大差でトップにランクされている。
これはつまり,サーカムが信じられないほど蔓延していて,正体を見破られにくいウイルスだということになる。
あるいは,サーカム以上にマスコミを騒がした以前のウイルスは,大半の電子メールユーザーには大きな影響を与えていなかったとも言える。
戻る ウイルス,最初のメニュー