Éste código malicioso escrito en Delphi, se recibe como mensaje con asunto y cuerpo variable cuyo texto es similar al siguiente: "Hola ¿cómo estás? Te mando este archivo para que me des tu punto de vista. Nos vemos pronto, gracias". Pero es importante tener en cuenta que no sólo se puede recibir el texto en castellano sino también en inglés. Lo mismo ocurre con el archivo adjunto de 137,216 bytes que contiene el virus, su nombre también es elegido de forma aleatoria y tiene la particularidad de contar con una doble extensión.

En el momento en el que se ejecuta el mensaje el gusano se copia en el directorio C:/WINDOWS/SYSTEM con el nombre SCAM32.EXE y al directorio C:/RECYCLED con el nombre SIRC32.EXE. Destacar que, en el caso de que no se tenga activada la opción "Ver archivos ocultos del sistema", este último archivo posee propiedades que impiden que sea visualizado desde el Explorador de Windows. Inmediatamente después se añade una línea en el registro de Windows para que el archivo sea ejecutado la próxima vez que se inicie el sistema.

El siguiente paso que lleva a cabo este gusano es entrar en la carpeta C:/MIS DOCUMENTOS, una vez allí graba en una archivo llamado SCD.DLL, creado en C:/WINDOWS/SYSTEM, todos los archivos con las extensiones .doc, .gif, .jpg, .jpeg, .mpeg, .mov, .mpg, .pdf, .pif, .png, .ps y .zip. En la misma carpeta pero en otro archivo, SCD1.DLL, guarda todos los e-mails que el usuario tiene en su libreta de direcciones y en los archivos temporales de Internet y usa sus propias rutinas SMTP y MIME para auto-enviarse. Entonces el virus se agrega al principio de todos los archivos presentes en scd.dll y se auto-envía en mensajes de correo como adjunto con dos extensiones, la del archivo original y una de éstas: .bat, .com, .exe, .pif, .lnk.

Por otro lado, Sircam busca en las estaciones de trabajo de la red PC´s con recursos compartidos e intenta auto-copiarse en el directorio de C:/WINDOWS de cada PC remoto y lo hace bajo el nombre RUNDLL32.EXE archivo que renombra como RUN32.EXE y una vez que ha conseguido copiarse en la nueva víctima modifica el documento AUTOEXEC.BAT y le agrega una línea, lo que obliga al sistema a ejecutar irremediablemente el archivo infectado.

Una de las acciones más nocivas de Sircam la presenta el hecho de que, dependiendo de la fecha y hora del sistema, borra toda la información del disco duro. De hecho, en una de cada 20 ejecuciones borra los archivos de la carpeta C:/WINDOWS y todo lo que allí encuentre y en una de cada 50, el virus crea el archivo SIRCAM.SYS en el directorio raíz del disco duro y escribe el texto antes citado que hace referencia a su procedencia. El problema se encuentra en que este texto lo escribe posteriormente en todos los archivos hasta que ocupa todo el espacio libre del disco duro.

Una vez más la recomendación no es otra que actualizar los programas anti-virus y no abrir ningún mensaje de correo electrónico, se conozca o no su procedencia, sin antes asegurarse de que su contenido no supone una amenaza para nuestros sistemas.