Virus - Sircam

Introducción al virus Sircam

El virus Sircam (cuyo nombre de código es W32.Sircam.Worm@mm, Backdoor.SirCam o Troj_Sircam.a) es un gusano que se difunde por correo electrónico. Los usuarios que corren mayor riesgo son aquellos que utilizan Microsoft Outlook en Windows 95, 98, Millenium y 2000.

Cómo trabaja el virus

El gusano Sircam selecciona aleatoriamente un documento (con las extensiones .gif, .jpg, .mpg, .jpeg, .mpeg, .mov, .pdf, .png, .ps o .zip) encontrado en el directorio c:\Mis documentos\ en el equipo infectado. A continuación envía automáticamente un correo electrónico cuyo asunto es el nombre de ese documento y cuyo texto es uno de los siguientes mensajes:

• En inglés:

  "Hi! How are you?
  I send you this file in order to have your advice
  See you later. Thanks"

  "Hi! How are you? I hope you can help me with this file that I send See you later. Thanks"

  "Hi! How are you? I hope you like the file that I send to you See you later. Thanks"

• O en español:

  "Hola ¿cómo estás?
  Te mando este archivo para que me des tu punto de vista
  Nos vemos pronto, gracias".

El virus Sircam adjunta una copia de sí mismo cuyo nombre es el del archivo encontrado en el disco duro del usuario, con un .vbs doble como su extensión de archivo.

El gusano Sircam también puede eliminar todos los archivos de su disco duro el 16 de octubre de cada año si su equipo usa el formato de fecha europeo (día/mes/año).

Sircam también agrega texto al archivo c:\recycled\sircam.sys cada vez que se reinicia su equipo, lo cual puede llenar potencialmente espacio disponible en el disco C:\.

Síntomas de infección

Los equipos infectados tienen los siguientes archivos en sus discos duros:

• Sirc32.exe
• Sircam.sys
• Run32.exe

Para saber si se tiene un virus, se debe realizar una búsqueda de archivos que posean alguno de los nombres mencionados previamente en todos los discos duros (Inicio/Buscar/Todos los archivos y carpetas...).

Cómo eliminar el virus

Para eliminar el gusano Sircam, el mejor método es utilizar un software antivirus actualizado o la herramienta de desinfección que ofrece Symantec:
Descargar la herramienta de desinfección

También se puede eliminar el virus manualmente a través de los siguientes pasos:

• Eliminar los archivos Sirc32.exe y Sircam.sys.
• Eliminar el archivo c:\windows\Runddl32.exe.
• Cambiarle el nombre al archivo c:\windows\Run32.exe por c:\windows\Rundll32.exe.
• Editar el archivo c:\autoexec.bat y eliminar la siguiente secuencia: @win \recycled\sirc32.exe
• En el registro (que se puede modificar al ejecutar c:\windows\regedit.exe)
  • En HKEY_CLASSES_ROOT/exefile/shell/open/command, editar la cadena (al hacer doble clic en Predeterminado) e introducir la siguiente cadena:

    "%1" %*

  • En HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices, eliminar la llaveDriver32=C:\WINDOWS\SYSTEM\SCam32.exe.
  • En HKEY_LOCAL_MACHINE/Software, eliminar la carpeta Sircam.
• Ahora se debe reiniciar el equipo.

Más información acerca del virus

• http://solutions.journaldunet.com/0107/010724.shtml
• http://vil.nai.com/vil/dispVirus.asp?virus_k=99141
• http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_SIRCAM.A
• http://www.sophos.fr/virusinfo/analyses/w32sircama.html

Este documento intitulado « Virus - Sircam » de Kioskea (es.kioskea.net) esta puesto a diposición bajo la licencia Creative Commons. Puede copiar, modificar bajo las condiciones puestas por la licencia, siempre que esta nota sea visible.
 

• Participar en este artículo
• Formato imprimible