Virus: W32/SirCam@MM
Alias
W32.Sircam.Worm@mm
W32/Sircam
W32/Sircam-A
Sircam
Backdoor.SirCam
TROJ_SIRCAM.A
SCAM.A
TROJ_SCAM.A
Win32.SirCam.137216
I-Worm.Sircam
I-Worm.Sircam.A
Worm/Sircam
Backdoor.SirCam.188
W32/SirCam.bat
W32/SirCam.dat
W32/SirCam.gen@MM
W32/SirCam@MM
W32.Sircam
I-Worm.Sircam.c
W95/Sircam.worm@mm
WORM_SIRCAM
WORM_SIRCAM.A
Características Peligrosidad: 5 - Extrema
Gusano de Internet que se envía junto a documentos hallados en la máquina infectada a todas la direcciones que encuentre en la agenda de Windows del usuario, así como a las encontradas en ficheros temporales.
Detalles
Virus escrito en Borland Delphi, con características de gusano y troyano, el cual usa técnicas parecidas al Magistr para propagarse, capaz de enviarse junto a documentos u otros archivos de la máquina infectada, a todas las direcciones de la libreta de contactos de Windows así como a otras direcciones que encuentre en ficheros temporales de Internet.
Para propagarse por medio del correo electrónico, usa sus propias rutinas SMTP y las extensiones MIME, pudiendo formatear el mensaje de forma que simule que ha sido enviado por Outlook Express5.5, aunque ni tan siquiera se tenga instalado en el sistema.
La dirección SMTP la obtiene de la máquina infectada que envió el mensaje o usando alguna de las siguientes hasta que tenga una contestación:
doubleclick.com.mx
enlace.net
goeke.net
Puede llegar en un mensaje tanto en castellano como en inglés, según sea el idioma del sistema operativo usado en la máquina que propaga al virus.
El formato de los mensajes es como sigue a continuación:
Asunto: [ Coincidente con el nombre del fichero adjunto pero sin extensión. ]
Cuerpo del mensaje: [ Es variable pero siempre contiene una de las dos líneas detalladas (en español o inglés), como principio o final del mismo:]
Español:
Principio: Hola como estas ?
Final: Nos vemos pronto, gracias.
Inglés:
Principio: Hi! How are you?
Final: See you later. Thanks
Los siguientes textos pueden ser encontrados entre ambas líneas:
Español:
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste
Inglés:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send you
This is the file with the information that you ask for
Adjunto: [ Nombre del fichero adjunto con doble extensión. ]
La primera extensión del fichero adjunto es alguna de las siguientes:
.DOC
.GIF
.JPG
.JPEG
.MPEG
.MOV
.MPG
.PDF
.PIF
.PNG
.PS
.ZIP
.XLS
La segunda extensión, no visible según la configuración por defecto de Windows, puede ser alguna de estas:
.BAT
.COM
.EXE
.PIF
.LNK
También puede propagarse a través de una red local. Si encuentra algún recurso compartido en red, intentará copiarse en el directorio Windows, de ese recurso compartido, con el nombre RUNDLL32.EXE, siendo renombrado el fichero original a RUN32.EXE.
Si esto último se consigue realizar con éxito, el gusano modificará el archivo AUTOEXEC.BAT con la siguiente linea, de manera que se ejecute en el próximo inicio de la máquina:
@win \recycled\sirc32.exe
Si el usuario ejecuta el archivo adjunto a un mensaje infectado, el virus muestra el documento o archivo verdadero, ejecutando la aplicación asociada (Word o WordPad para .DOC, etc.) al mismo tiempo que se copia en la carpeta protegida de Windows llamada "Papelera de reciclaje", una con el nombre del adjunto (sin extensión), y otra como SirC32.exe:
C:\RECYCLED\SirC32.exe
C:\RECYCLED\[ nombre del adjunto recibido ]
Permanecerán invisibles a menos que se active la opción, del explorador, "Ver archivos ocultos o del sistema".
Luego, modifica el registro para poder ejecutarse cada vez que se llame a un archivo .EXE:
HKCR\exefile\shell\open\command
(Predeterminado) = C:\recycled\SirC32.exe "%1" %*
También se copia a si mismo al directorio SYSTEM de Windows, con el nombre de SCam32.exe:
C:\Windows\System\SCam32.exe
Crea también el siguiente valor en el registro, para poder cargarse en memoria cada vez que Windows se inicia: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Driver32 = C:\WINDOWS\SYSTEM\SCam32.exe
Agrega además esta entrada en el registro, donde guarda información que utiliza para su funcionamiento (datos para el envío de los mensajes):
HKLM\Software\SirCam
FB1B (nombres de los archivos guardados en C:\Recycled)
FB1BA (dirección IP del SMTP)
FB1BB (dirección e-mail del emisor)
FC0 (cantidad de veces que se ha ejecutado)
FC1 (versión del gusano)
FD1 (nombre del archivo ejecutado, sin la extensión)
Luego, busca todos los archivos con las siguientes extensiones, que se encuentren en la carpeta "Mis Documentos" de la computadora infectada (generalmente C:\Mis Documentos), y en el escritorio (C:\WINDOWS\Escritorio):
.DOC
.GIF
.JPG
.JPEG
.MPEG
.MOV
.MPG
.PDF
.PIF
.PNG
.PS
.ZIP
.XLS
La ubicación de estas carpetas la toma de las claves "Personal" y "Desktop" del registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders.
Graba la lista de estos nombres en el archivo SCD.DLL, creado en el directorio SYSTEM:
C:\Windows\System\SCD.DLL
Las direcciones de correo obtenidas en la libreta de direcciones (*.wab) y en los archivos temporales de Internet (sho*., get*., hot*. y *.htm), son grabadas en una lista similar, pero con el nombre SCD1.DLL:
C:\Windows\System\SCD1.DLL
El gusano se agrega al principio de los archivos listados en SCD.DLL, y se envía de este modo adjunto a un mensaje de correo electrónico, pero con la doble extensión indicada al principio.
Los archivos SCD.DLL y SCD1.DLL pueden variar aleatoriamente su nombre:
SC<1 caracter aleatorio>.DLL
SC<2 caracteres aleatorios>.DLL
Tambien puede realizar más acciones, según determinadas condiciones:
Una vez, de cada 33 ejecuciones, puede copiarse desde C:\recycled\sirc32.exe a C:\Windows\scmx32.exe.
También puede copiarse como "Microsoft Internet Office.exe" en la carpeta indicada en esta clave del registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup
Que corresponde a C:\WINDOWS\Menú Inicio\Programas\Inicio
Esto hará que se ejecute al inicio del sistema.
Una vez, de cada 50 ejecuciones, crea el siguiente archivo: C:\RECYCLED\sircam.sys
Luego, agrega repetidamente uno de los siguientes textos a dicho archivo, hasta acabar con el espacio en el disco duro:
[SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright © 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]
Una vez, de cada 20 veces, o el 16 de octubre de cualquier año, el gusano puede borrar todos los archivos y carpetas de la unidad C:. Esto funciona solo en las máquinas con el formato DIA/MES/AÑO, o sea, la clásica configuración bajo un sistema en español.
Finalmente, cada 8000 ejecuciones, el virus deja de funcionar.
Eliminación manual:
Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al virus, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.
Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:
command /c rename c:\windows\regedit.exe regedit.com
Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).
Para acceder al registro debemos ejecutar el comando REGEDIT .
Del registro:
HKEY_LOCAL_MACHINE
SOFTWARE
Classes
exefile
shell
open
command
borrar el siguiente valor:
C:\recycled\SirC32.exe
y dejar solo esto (no debe quedar ningún espacio adelante de la primer comilla, la que debe incluirse exactamente como se expone a continuación):
"%1" %*
Del registro:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices
borrar el valor:
Driver32
Y del registro:
HKEY_LOCAL_MACHINE
Software
SirCam
Seleccionar la carpeta SirCam y borrarla.
Reiniciar y después de ello, desde Inicio|Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:
command /c rename c:\windows\regedit.com regedit.exe
Asegúrese poder ver las extensiones verdaderas de los archivos y visualizar aquellos con atributos de "Oculto".
Busque y elimine los siguientes archivos del disco duro:
sirc32.exe
scam32.exe
sircam.sys
scmx32.exe
"microsoft internet office.exe"
scd.dll
scd1.dll
Vacíe la papelera de reciclaje.
Ejecute uno (o más) antivirus actualizados para revisar y limpiar el sistema.
Si el sistema infectó el archivo RUNDLL32.EXE, deberá borrarlo, y renombrar el archivo RUN32.EXE como RUNDLL32.EXE (ambos en C:\Windows).
Borre también la línea "@win \recycled\sirc32.exe" de C:\AUTOEXEC.BAT.
NOTA: Si se está usando Windows Me, y una copia del virus se detecta en la carpeta "_Restore", es posible, que el programa antivirus que se esté usando, no sea capaz de eliminarlo de esa ubicación, ya que la protege el propio sistema operativo. Para ello hay que deshabilitar esa protección, eliminar el virus y volver a activarla.
La característica Restaurar sistema está habilitada de manera predeterminada. Para deshabilitarla:
Haga clic con el botón secundario del ratón en "Mi PC" y, a continuación, haga clic en "Propiedades".
En la ficha "Rendimiento", haga clic en "Sistema de archivos" o bien presione ALT+F.
En la ficha "Solución de problemas", haga clic en la casilla de verificación "Deshabilitar Restaurar sistema" para activarla.
Haga clic en "Aceptar" dos veces y, a continuación, en "Sí" cuando se le pregunte si desea reiniciar el equipo.
Ahora se podrá eliminar de esa carpeta el fichero deseado
Para volver a habilitar Restaurar sistema, siga los pasos 1 a 3, pero en el paso 3, haga clic en la casilla de verificación "Deshabilitar Restaurar sistema" para desactivarla.
Solución
Rastrear el equipo infectado con un antivirus actualizado y eliminar todos los archivos detectados por este como cualquiera de los nombres atribuídos al virus en cuestión.
Asimismo es necesario restaurar la información del registro del sistema (ver Detalles).
Por otra parte, casi todas las firmas de Software Antivirus tienen disponibles herramientas específicas para eliminar el patógeno de forma automática
Soluciones especificas:
[url]http://webs.ono.com/usr016/Agika/botiquin1.htm#Herramientas%20específicas[/url]
http://www.bitdefender-es.com/html/tools_gratis.php
http://www.pandasoftware.es/enciclopedia/pqremove_sp.htm
Y hay muchas mas, suerte
Salu2