ADG Оставить заявку
Блог Информационная безопасность 4 мин чтения

Sircam: партнёры получили прайсы, хотя клиент ничего не слал

Червь Sircam рассылает случайные документы с заражённого диска по всем адресам из Outlook. Разбираем кейс с утечкой прайсов и объясняем, почему антивирус пропустил.

Контекст момента

червь Sircam рассылает случайные документы с диска пользователя через почту без его ведома

Клиент позвонил в среду утром с довольно странной историей. Его партнёры - несколько компаний, с которыми он работает по поставкам - получили письма с его адреса. В письмах были вложения: внутренний прайс-лист, какой-то договор и ещё пара файлов. Клиент клялся, что ничего не отправлял. Один из партнёров позвонил уточнить - и тут выяснилось, что писем было несколько, каждому пришло что-то своё, и никто из получателей ничего не просил.

Симптом знакомый. Речь о Sircam - черве, который появился примерно в июле и сейчас идёт второй волной.

Как он работает. Sircam попадает на машину через почту - пользователь открывает вложение, вложение запускается. После этого червь делает сразу две вещи: копирует себя и начинает методично собирать адреса из Outlook и из временных файлов браузера. Дальше - главная его особенность - он идёт на диск C:, выбирает случайный файл из папки «Мои документы» и прикрепляет его к письму вместе с собой. Письмо уходит каждому найденному адресу.

Это не просто самораспространение. Это утечка. Случайный файл с диска - это может быть что угодно: прайс, договор, таблица с бюджетом, переписка. Клиент в нашем кейсе хранил в «Моих документах» всё подряд, включая коммерческие условия, которые явно не предназначались для широкого круга.

Почему антивирус не поймал. Здесь всё предсказуемо. На машине стоял антивирус с базами, которые последний раз обновлялись примерно за две недели до заражения. Sircam появился в активной фазе как раз в этот промежуток, и база его просто не знала. Сигнатуры не совпадали - вирус прошёл незамеченным.

Это классическая проблема с антивирусами, работающими от сигнатур: база отстаёт от реального распространения. Две недели - это много. За это время новый червь успевает пройти первую волну, добраться до вендоров, получить сигнатуру, и та попадёт в базы - но если базы не обновлялись, машина всё это время открыта. Автоматического обновления у клиента настроено не было, обновляли руками «когда вспоминали».

Что мы нашли при диагностике. На машине в папке C:\recycled обнаружился файл с именем, похожим на системный - это Sircam прячет свою копию. В реестре была запись в HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices - автозапуск. В очереди Outlook висело несколько неотправленных писем с вложениями: файлы с диска, каждый аккуратно упакован вместе с телом червя.

Отдельно интересно, что Sircam использует собственный SMTP-движок и может отправлять почту напрямую, минуя почтовый клиент. Так что в части случаев письма вообще не светятся в «Отправленных» - пользователь не видит, что что-то ушло.

Что делали дальше. Первым делом - отключить машину от сети, пока разбираемся. Потом обновить базы на всех остальных машинах и прогнать полную проверку. На заражённой машине - удалить записи из реестра, почистить recycled, убрать тело из временных папок. Дальше - проверить очередь почты на предмет того, что успело уйти.

Клиенту пришлось написать тем партнёрам, которые получили прайс, и объяснить ситуацию. Неловко, но лучше чем молчать - всё равно уже получили.

Практический вывод один. Антивирус с устаревшими базами - это как замок, у которого потеряли ключ: он есть, но толку мало. Автоматическое обновление баз - не опция, а обязательное условие. На тот момент у большинства корпоративных антивирусов такая возможность была, просто никто не настраивал.

Второй момент - то, что лежит в «Моих документах», может уйти наружу. Это не паранойя, это конкретный кейс. Если на рабочей машине хранятся документы с коммерческими условиями, внутренние отчёты, переписка - стоит хотя бы думать о том, что при заражении всё это станет приложением к письму неизвестному получателю.

Для тех, кто хочет понять, что вообще происходит с машинами в сети - проверить, где что хранится, насколько актуальны базы, что открыто наружу - это именно то, чем занимается аудит информационной безопасности. Не после инцидента, а до.

История с IIS-червями в августе и сейчас эта - два разных сценария, но общая черта одна: защита, которую не обслуживают, перестаёт работать в самый неподходящий момент.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.