GUSANO

SIRCAM.A

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

Alias: I-Worm.Sircam, W32.Sircam, W32/SircCam, w32.Sircam.Worm@mm, W32/SirCam@mm, BackDoor.SirCam.188, W32.SirCam@MM, Scam.A, Troj_Scam.A

Aparecido el 17 de Julio del 2001 "in the wild", se propaga vía e-mail utilizando el Outlook Express de Microsoft. Envía mensajes a todas las direcciones e-mail listadas en la libreta de direcciones del usuario infectado y hasta el momento es el virus detectado más peligroso y que más infecciones ha desencadenado, superando incluso la terrible plaga del LoveLetter.

Es un gusano de correo masivo de aproximadamente 150 Kb de tamaño. Cuando se ejecuta se copia en el directorio c:\recycled\SirC32.exe y como Scam32.exe en el directorio de sistemas de Windows. En algunas ocasiones descarga un archivo vacío llamado SCD.DLL en el directorio de sistema.

Para ejecutarse crea la entrada de registro:

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\
currentVersion\RunServices\Driver32

Modifica además la siguiente entrada de registro:

HKEY_CLASSES_ROOT\exefile\shell\open\command " "%1%*"

La modificación de esta otra entrada permite al gusano a SirCam activarse cada vez que se ejecute cualquier archivo con extensión .EXE

HKEY_CLASSES_ROOT\exefile\shell\open\command =
" "C:\Recycled\SirC32.exe " "%1"%*"

También crea una entrada de registro para almacenar los datos:

HKEY_LOCAL_MACHINE\Software\SirCam

El parásito recoge direcciones de e-mail de la libreta de direcciones de Windows en un archivo llamado scw1.dll en el directorio de sistema (el nombre del archivo puede ser aleatorio).

SirCam crea otro archivo que contiene una lista de archivos con ciertas extensiones (por ejemplo con las extensiones .doc, .zip, .jpg) localizado en la carpeta "Mis documentos" del usuario. Es bastante frecuente que los usuarios guarden sus documentos personales o relativos a la empresa aquí, lo que significa que el gusano puede "publicar" información confidencial a través de Internet.

Utilizando su propio motor SMTP envía mensajes a las direcciones que encuentra. Uno de los archivos de documentos es seleccionado de la lista y añadido al programa del virus. Este archivo será enviado con una doble extensión, por ejemplo .DOC.EXE, .ZIP.COM, .JPG.PIF, etc.

Cuando un destinatario abre este archivo adjunto, su sistema se infecta y puede visualizarse el documento elegido por SirCam para su envío.

Los mensajes enviados por el gusano aparecen de la siguiente manera:

Asunto: línea de asunto aleatoria, con el mismo nombre del adjunto)
Mensaje – Texto: El mensaje puede aparecer en español o en inglés.

Ingles:

Hi! How are you?
I send you this file in order to have your advice
I hope you can help me with this file tahat I send
I hope you like the file that I send you
This is the file with the information that you ask for
See you later! Thanks

Castellano:

Hola como estas?
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la información que me pediste.

El archivo adjunto tiene el nombre del documento que el gusano recoge del PC infectado con una extensión doble, por ejemplo .DOC.EXE, .ZIP.COM, .JPG.PIF., ETC.


Copyright © VIRUSPROT.COM