Puede
que usted esté
infectado y aún no lo sepa, pues este virus tiene
fechas predeterminadas para borrar informacion del
disco rígido.
Para comprobarlo, solo tiene que enviarse un mail a usted mismo y ver si recibe
luego un mail con las caracteristicas que se detallan mas abajo y un attach con
doble extension que probablemente corresponda al
nombre de alguno de los archivos que usted tiene en Mis Documentos.
Información sobre el W32/Sircam
Sircam
es un gusano de correo electrónico que tiene la capacidad de enviarse a todos
los contactos de la libreta de direcciones de Microsoft Outlook, por lo que su
propagación se produce rápidamente. También modifica el registro de Windows,
de tal forma que asegura su presencia en el equipo infectado cada vez que se
ejecute un archivo .EXE.
En ciertas ocasiones el gusano crea un fichero y
comienza a escribir texto en él hasta ocupar todo el espacio disponible en el
disco duro. Adicionalmente, otra de las acciones que puede llevar a cabo este
virus es el borrado de toda la información.
Cuando
el gusano se ejecuta en un sistema se sitúa en la Papelera de Reciclaje
de Windows copiándose como C:RECYCLEDSirC32.exe. Esta carpeta
suele permanecer oculta en Windows, además algunos antivirus la tienen
excluida de sus análisis según la configuración por defecto.
El gusano también añade una entrada al registro de Windows para asegurarse que SirCam se carga en memoria cada vez que un archivo .EXE es
ejecutado:
HKCR\exefile\shell\open\command\
Default="C:\recycled\SirC32.exe"
"%1" %*
Otra copia renombrada como SCam32.exe la sitúa en la carpeta Windows\System,
así como una nueva entrada en el registro para asegurar su activación cada vez
que se inicia el sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Driver32=C:\WINDOWS\SYSTEM\SCam32.exe
A continuación SirCam crea una lista con los nombres de los archivos que
encuentra en la carpeta Mis Documentos y cuyas extensiones sean .GIF, JPG,
JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, o .ZIP. El listado lo almacena en
el archivo SCD.DLL en Windows\System.
De forma similar recoge en
la misma carpeta, bajo el nombre de archivo SCD1.DLL, una lista con todas
las direcciones de correo electrónico que encuentra en la libreta de
direcciones de Windows y en la carpeta de archivos temporales de Internet.
El
segundo y tercer carácter del nombre de los archivos .DLL donde almacena
las listas puede variar al azar.
El gusano contiene su propia rutina SMTP para autoenviarse a las
direcciones que tiene almacenadas en la lista SCD1.DLL.
Para componer el
archivo infectado a enviar el gusano se copia al principio de alguno de los
archivos listados en SCD.DLL añadiendo al final la segunda extensión.
De esta forma consigue distintas apariencias según va infectando sistemas.
El gusano Sircam llega en un mensaje de correo electrónico incluido en un
fichero adjunto.
En
la primera línea del mensaje aparece el texto : "¿Hola como estas?"
El texto intermedio es variable, pudiendo leerse una de las siguientes frases:
"Te
mando este archivo para que me des tu punto de vista"
"Espero me puedas ayudar con el archivo que te mando"
"Espero te guste este archivo que te mando"
"Este es el archivo con la información que me pediste"
Finalmente puede leerse la frase: "Nos vemos pronto gracias"
Las
cadenas de texto de la versión en ingles son las siguientes:
Primera línea:
"Hi! How are you?"
Central: "I send you this file in order to have your advice"
"I hope you can help me with this file that I send"
"I hope you like the file that I send you"
"This is the file with the information that you ask for"
Última línea: "See you later. Thanks"
El fichero adjunto, en el que llega incluido el virus, tiene doble extensión.
Una de ellas es tomada por el gusano desde el equipo infectado, pudiendo ser la
segunda cualquiera de las siguientes: .GIF,
JPG, .JPEG, MPEG, .MOV, .MPG, .PDF,
.PNG, .PS, o .ZIP, mientras que la última y realmente importante puede ser .BAT,
.COM, .EXE, .LNK o .PIF.
En la configuración por defecto de Windows
la segunda extensión no se visualizaría, lo que sin duda puede lograr engañar
a los usuarios haciéndoles creer que se trata de un documento inofensivo.
Como Solucionar la infección del Sircam
A
continuacion, unas reglas universales para detectarlo y ponerle la vacuna.
No esta de más seguirlas y comprobar que uno esta inmunizado.
Pasos a seguir:
Si un usuario se ha visto afectado por el Sircam (o tiene sospechas de ello)
pero su ordenador no ha quedado bloqueado, lo único que tendrá que hacer será
descargarse la utilidad PQREMOVE
(http://updates.pandasoftware.com/pqremove/pqremove.com) que
Panda Software pone a su disposición de forma gratuita, y ejecutarla en su
ordenador para limpiar este virus.
En el caso de aquellos usuarios que no puedan acceder normalmente a sus
ordenadores, ni a Internet, debido a los efectos del virus, la opción mas
recomendada es que consigan descargarse la utilidad PQREMOVE (http://updates.pandasoftware.com/pqremove/pqremove.com)
desde otro ordenador que no esté infectado, la copien en un disquete y a
continuación la ejecuten en su ordenador.
Solo en el caso extremo de usuarios que no puedan acceder a Internet debido al
virus, y tampoco tengan la posibilidad de descargar el PQREMOVE (http://updates.pandasoftware.com/pqremove/pqremove.com)
desde otro
ordenador, se deben realizar los siguientes pasos :
Advertencia previa: Debera modificar el Registro de Windows,por lo que antes de
empezar le sugerimos hacer backup (copia) de todos sus documentos importantes o,
sino se siente seguro, llamar a un tecnico.
Si usted esta conectado en red, o tiene conexion permanente a Internet,
desconece la computadora de la red y de Internet.
Realice el procedimiento que
se detalla a continuacion en todas las maquinas, incluido el servidor.
Antes de reconectarse a la red o a Internet, desconecte o proteja con un
password la opcion "compartir archivos".
1. Desde el escritorio, pinchar en Inicio, Ejecutar, escribir command.com” y
pinchar en aceptar.
2. Escribir ”cd\windows” y pulsar Enter. (”cd\winnt” en el caso de sistemas NT o
2000)
3. Escribir ”copy regedit.exe regedit.com” y pulsar Enter.
4. Escribir ”regedit.com” y pulsar Enter. Así se abrirá el Editor del
Registro.
5. Navegar a ”HKEY_CLASSES_ROOT\Exefile\Shell\open\command” desde el Editor del
Registro.
6. Encontrará una clave llamada ”Predeterminado” con el siguiente valor:
”C:\recycled\Sirc32.exe” ”%1” %*
7. Hacer doble click en la entrada y borrar la primera parte para que quede de
la siguiente manera: ”%1” %*
8. Pinchar en Aceptar y cerrar el Editor del Registro.
9. Una vez realizados estos cambios, y sin reiniciar el equipo, descargue el
fichero http://updates.pandasoftware.com/pqremove/pqremove.com.
Una vez descargado ejecútelo.
Ahora Vd. Sabe que su equipo no se encuentra afectado por el virus Sircam.
Le recuerdo una vez más la importancia de extremar las precauciones y
asegurarse de que se tiene actualizado el antivirus en todos los ordenadores,
tanto en servidores como en estaciones.