SirCam
| ||||||||||
Virus Sircam. Este es un virus informático de correo electrónico que tiene la capacidad de enviarse a todos los contactos de la libreta de direcciones de Microsoft Outlook, por lo que su propagación se produce rápidamente. También modifica el registro de Windows, de tal forma que asegura su presencia en el equipo infectado cada vez que se ejecute un archivo .EXE. En ciertas ocasiones el virus crea un fichero y comienza a escribir texto en él hasta ocupar todo el espacio disponible en el disco duro. Adicionalmente, otra de las acciones que puede llevar a cabo este virus es el borrado de toda la información.
Sumario
Modo de ataque
Cuando el gusano se ejecuta en un sistema se sitúa en la Papelera de Reciclaje de Windows copiándose comoC:\RECYCLED\SirC32.exe. Esta carpeta suele permanecer oculta enWindows, además algunos antivirus la tienen excluida de sus análisis según la configuración por defecto. El virus también añade una entrada al registro de Windows para asegurarse que SirCam se carga en memoria cada vez que un archivo .EXE es ejecutado.
SirCam crea una lista con los nombres de los archivos que encuentra en la carpeta Mis Documentos con extensiones: GIF, JPG, JPEG, MPEG, MOV, MPG, PDF, PNG, PS, o ZIP. El listado lo almacena en el archivo SCD.DLL en Windows\System. De igual forma recoge en la misma carpeta, bajo el nombre de archivo SCD1.DLL, una lista con todas las direcciones de correo electrónico que encuentra en la libreta de direcciones de Windows y en la carpeta de archivos temporales de Internet. El segundo y tercer carácter del nombre de los archivos .DLL donde almacena las listas puede variar al azar.
El virus contiene su propia rutina SMTP para autoenviarse a las direcciones que tiene almacenadas en la lista SCD1.DLL. Para componer el archivo infectado a enviar el gusano se copia al principio de alguno de los archivos listados en SCD.DLL añadiendo al final la segunda extensión. De esta forma consigue distintas apariencias según va infectando sistemas. Sircam llega en un mensaje de correo electrónico incluido en un fichero adjunto. Ejemplo de la aparición del virus.
Se difundió en inglés y en castellano.
Un mensaje con texto : "¿Hola como estas?"
- Te mando este archivo para que me des tu punto de vista
- Espero me puedas ayudar con el archivo que te mando
- Espero te guste este archivo que te mando
- Este es el archivo con la información que me pediste
- Finalmente puede leerse la frase: "Nos vemos pronto gracias
El fichero adjunto, en el que llega incluido el virus, tiene doble extensión. Una de ellas es tomada por el gusano desde el equipo infectado, pudiendo ser la segunda cualquiera de las siguientes: .GIF, JPG, .JPEG, MPEG, .MOV, .MPG, .PDF, .PNG, .PS, o .ZIP, mientras que la última y realmente importante puede ser .BAT, .COM, .EXE, .LNK o .PIF. En la configuración por defecto de Windows la segunda extensión no se visualizaría, lo que sin duda puede lograr engañar a los usuarios haciéndoles creer que se trata de un documento inofensivo.
Se encuentra entre los virus informáticos más peligrosos de la historia.Panda Software, multinacional experta en antivirus, ha afirmado que W32 SirCam es la segunda mayor epidemia de virus después de LoveLetter
Síntomas de infección
Los equipos infectados tienen los siguientes archivos en sus discos duros: Sirc32.exe Sircam.sys Run32.exe
Para saber si se tiene un virus, se debe realizar una búsqueda de archivos que posean alguno de los nombres mencionados previamente en todos los discos duros (Inicio/Buscar/Todos los archivos y carpetas...).
Medidas para contrarrestar el virus
- No ejecutar anexos que no hayamos solicitado, sin previa comprobación con el remitente.
- Desactivar la opción Vista previa de nuestro cliente de correo.
- Evitar el envío de mensajes con formato HTML.
- Activar las protecciones estándares del cliente de Correo electrónico.
- Activar las protecciones estándares del navegador de Internet.
Descontaminación del Virus Sircam
El Panda Software pone a su disposición de forma gratuita, y ejecutarla en su ordenador para limpiar este virus.
En el caso de aquellos usuarios que no puedan acceder normalmente a sus ordenadores, ni a Internet, debido a los efectos del virus, la opción mas recomendada es que consigan descargarse la utilidad PQREMOVE desde otro ordenador que no esté infectado, la copien y la ejecuten en su ordenador.
Solo en el caso extremo de usuarios que no puedan acceder a Internet debido al virus, y tampoco tengan la posibilidad de descargar el PQREMOVE desde otro ordenador, pueden realizar los siguientes pasos:
- Realizar copia de resguardo de todos los documentos importantes
- Desconectar la Pc de la red y antes de reconectarse a la red o a Internet, desconecte o proteja con un password la opción compartir archivos.
- Desde el escritorio, pinchar Inicio, Ejecutar, escribir command.com y aceptar.
- Escribir cd\windows y pulsar Enter. (cd\winnt en el caso de sistemas NT o 2000)
- Escribir copy regedit.exe regedit.com y pulsar Enter.
- Escribir regedit.com y pulsar Enter. Así se abrirá el Editor del Registro.
- Navegar a HKEY_CLASSES_ROOT\Exefile\Shell\open\command desde el Editor del Registro.
- Encontrará una clave llamada Predeterminado con el siguiente valor:
C:\recycled\Sirc32.exe %1 %*
- Hacer doble click en la entrada y borrar la primera parte para que quede de la siguiente manera: %1 %*
- Pinchar en Aceptar y cerrar el Editor del Registro.
- Una vez realizados estos cambios, y sin reiniciar el equipo, descargue el fichero. Una vez descargado ejecútelo.
Estas instrucciones son tanto para las pc como para servidores, siempre con la seguridad de tener actualizado el antivirus.
Enlaces externos
- http://solutions.journaldunet.com/0107/010724.shtml
- http://vil.nai.com/vil/dispVirus.asp?virus_k=99141
- http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_SIRCAM.A
- http://www.sophos.fr/virusinfo/analyses/w32sircama.html
Fuente
- Revista Giga
