I-Worm.Sircam - CODINE

Estás en Inicio: Soporte Técnico: Alertas de Virus: I-Worm.Sircam

I-Worm.Sircam« Volver al listado de Virus

Sircam es un gusano de correo de unos 150 kilobytes de tamaño. Al ejecutarse se copia a sí mismo en “c:\recycled\SirC32.exe” y como “'SCam32.exe” al directorio de sistema de windows. El archivo “SCam32.exe” se registra como comando de inicio para los archivos EXE, de tal manera que se ejecutará cada vez que se ejecute un archivo con dicha extensión. Al mismo tiempo, el archivo “SCam32.exe” queda registrado también como driver de tal forma que se asegura su ejecución cada vez que el equipo se arranca.

El gusano recoge direcciones de correo de la libreta de direcciones de windows guardándolas en un archivo llamado “scw2.dll” en el directorio de sistema, aunque puede tener otros nombres.

Entonces se crea otro archivo que contiene una lista de archivos con ciertas extensiones (por ejemplo .doc, .zip, .jpg) que hay en el directorio “Mis documentos”. Dado que muchos usuarios suelen utilizar este directorio para guardar su información, el gusano puede llegar a mandar información confidencial.

Usando su propio motor SMTP, el gusano envía mensajes a las direcciones que encuentra. De los documentos seleccionados elige uno y lo envía una vez infectado. Este fichero será enviado con doble extensión, por ejemplo .DOC.EXE, .ZIP.COM, .JPG.PIF, etc.

Cuando el receptor del mensaje ejecuta el archivo enviado se infecta y luego ve el documento original que le envió el gusano.

Los mensajes enviados por el gusano pueden ir en castellano o en inglés. La primera y última línea son siempre la misma:

- Primera línea: Hi! How are you? / Hola como estas ?
- Última línea: See you later. Thanks / Nos vemos pronto, gracias.

Las variantes de texto entre estas líneas son:

- I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for

- Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacib que me pediste

Dependiendo de la fecha y hora del sistema, de forma aleatoria, en un caso de cada 20, borra todos los archivos y directorios contenidos en el directorio windows.

En cada arranque de forma también aleatoria, en uno de caso de cada 50 crea un archivo SirCam.Sys que va llenando hasta llenar completamente el disco duro.

Por último, este virus es también capaz de distribuirse en red utilizando las carpetas compartidas que encuentre en la red.

Descárguese la utilidad gratuita de KAV para desinfectar este virus.