Un nuevo gusano se esta reproduciendo con gran rapidez se trata de el gusano Sircam que tiene el crédito de esta hecho en "Cuitzeo, Michoacán México". Es un virus muy complejo y aun no se conoce  muy bien su funcionamiento pues aparentemente hay varias versiones. El virus puede llegar en correo con un mensaje en ingles o en español, No hay que abrir ningún documento si no conoce de antemano su contenido. El virus utiliza el truco de utilizar una doble extensión para ocultar el tipo de archivo

El correo llega usualmente con el nombre:
En español
>Primera Línea: Hola como estas ?
>Segunda línea: Nos vemos pronto, gracias.

En Ingles:
>Primera Línea: Hi! How are you?
>Ultima Línea: See you later. Thanks

El mensaje en medio de estas líneas puede cambiar.

Además es urgente actualizar su software antivirus, y si lo llega a detectar es importante escanear la papelera de reciclado, donde el virus se esconde, pues usualmente el software antivirus no examina la papelera

Se espera que este domingo el nivel de infección llegue al máximo, por lo que es de esperar que las redes se vuelvan lentas.

Este gusano puede borrar el contenido del disco duro, o llenarlo de basura, su comportamiento no es predecible. El gusano se puede reproducir a través de las redes de computo, si hay sospecha de infección debe sacar a sus computadoras fuera de línea hasta que este seguro de que no hay infección. De lo contrario las maquinas se podrían volver a reinfectar.

Javier Delgado

• i. Sircam, Gusano peligroso

Nombre: W32.Sircam.Worm@mm            
Descubierto en: Julio 17, 2001            
alias: W32/SirCam@mm, Backdoor.SirCam            

Resumen:

Este es un gusano que se reproduce enviando altos volúmenes de E-mail. El gusano envía archivos al azar tomados de la computadora infectada, y hay una posibilidad en 20 de que borre todos los archivos del disco c:

Existe una posibilidad en 33 de que cree un archivo sircam.sys que utilice todo el espacian sobrante del disco duro. Se considera un riesgo de seguridad pues envía documentos al azar, tomados del disco duro de la maquina infectada, y lo incluye en los correos que envía.

Además busca los directorios compartidos (en los sistemas que están en red) y se copia a esos directorios.

El gusano llega en un correo cuyo nombre varia al azar y que es el mismo nombre del archivo adjunto que va incluir en el correo. El mensaje del correo puede variar pero siempre incluye alguna de estas líneas:

En español
>Primera Línea: Hola como estas ?
>Segunda línea: Nos vemos pronto, gracias.

En Ingles:
>Primera Línea: Hi! How are you?
>Ultima Línea: See you later. Thanks

El mensaje en medio de estas líneas puede cambiar, pero puede incluir estas líneas:

En español
>Te mando este archivo para que me des tu punto de vista
>Espero me puedas ayudar con el archivo que te mando
>Espero te guste este archivo que te mando
>Este es el archivo con la información que me pediste

En ingles
>I send you this file in order to have your advice
>I hope you can help me with this file that I send
>I hope you like the file that I sendo you
>This is the file with the information that you ask for

El archivo adjunto lleva un nombre con una doble extensión como
>.zip.exe
>.doc.bat
>.zip.pif

Si usted tiene por default ocultar las extensiones el archivo  aparece como .zip .doc .zip.

Le recomiendo activar la opción de no ocultar las extensiones para detectar este truco, que se ha vuelto muy popular desde que lo utilizo el virus IloveYou. Para esto, abra "mi PC" y en donde dice VER, seleccione opciones de carpeta. Aparece una ventana, con el titulo de "general" ahora seleccione "Ver". Si la opción que dice "ocultar extensiones de programas conocidos" tiene una palomita, apáguela y pida aplicar. Con esto podrá ver las extensiones de los archivos. Cualquier  archivo que tenga doble extensión es casi con seguridad un virus.

Cuando el usuario pica en le archivo para poder ver su contenido, el gusano se activa y se copia al  directorio TEMP de Windows (la ubicación de este directorio puede ser distinta en algunas maquinas) y a la papelera de reciclaje. Después abre el archivo, que puede ser un archivo doc de Word, Excell o un archivo ZIP (comprimido)

Después se copia a :
> C:\Recycled\Sirc32.exe and %System%\Scam32.exe.

Posteriormente añade la siguiente clave al registro de Windows

>HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\RunServices

>Driver32=%System%\scam32.exe

Tambien crea la clave de registro

HKEY_LOCAL_MACHINE\Software\SirCam

Con los siguiente valores: 
           clave                           valor 
 FB1B   - . nombre del virus en la papelera  de reciclado 
 FB1BA - La dirección IP del servidor  SMPT 
 FB1BB - La dirección de correo de  la computadora infectada 
 FC0     - El numero de veces que el virus se ha ejecutado 
 FC1     - El numero de versión del virus            
 FD1      - El nombre del ejecutable del virus          

También cambia el valor por default de la clave de registro

HKEY_CLASSES_ROOT\exefile\shell\open\command

y le pone el valor

C:\recycled\sirc32.exe "%1" %*"

Esto causa que el virus sea ejecutado cada ves que se abre un archivo .exe Esto significa que si el virus es borrado sin modificar el registro, no se podrán ejecutar archivo exe, hasta que el registro sea reparado.

El gusano puede detectar si se esta conectado en red, y trata de infectar los directorios compartidos.

Si detecta un directorio compartido, trata de copiarse a la papelera de reciclado del directorio compartido
<Computer>\Recycled\Sirc32.exe
y trata de modificar el archivo Autoexec.bat para añadirle la línea
"@win \recycled\sirc32.exe"
Con lo que la computadora será infectada la próxima ves que sea encendida.

También reemplaza el archivo Rundll32.exe con el archivo Sirc32.exe

Finalmente, existe una posibilidad en 33 de que copie el archivo Sirc32.exe a %Windows%\Scmx32.exe
También se puede copiar como "Microsoft Internet Office.exe" Después de esto, crea el archivo C:\recycled\Sircam.sys y lo llena con el siguiente texto, hasta que se llene el disco duro:

[SirCam Version 1.0 Copyright ¬ 2000 2rP Made in / Hecho en - Cuitzeo, Michoacan México]

El Gusano además tiene otra carga que será activada el 16 de octubre, y que hay unas posibilidad en 20 de que borre todos los archivos del directorio C.

Este gusano contiene su propio programa de correos, a diferencia de la mayor parte de los virus, no solo busca la libreta
de direcciones de Outlook, sino que busca además los archivos sho*., get*., hot*., *.htm y los escanea en busca
de direcciones de correo. Por lo que puede localizar correos de paginas que el usuario haya visitado.

También busca las carpetas de "mis documentos",  y Desktop, localizando los archivos .doc, .xls, .zip, and .exe
y que son los archivos que utilizara para enviar e infectar.

Debido que muchos usuarios archivan sus documentos  personales en la carpeta de "mis documentos" es muy posible que el gusano envíe información personal a través de correo.

Cuando el gusano a sido ejecutado 8000 veces, automáticamente se inactiva.

Debido a que este gusano modifica el archivo de registro de Windows, no debe intentar eliminarlo manualmente a menos que este
familiarizado con el registro de Windows.

Debe actualizar su antivirus, y hacer un scan completo del sistema, y borrar todos los archivos que sean detectados con el virus Sircam.

Si esta conectado en red, debe desconectar su computadora de la red, hasta que se asegure que este limpia.

Debe vaciar la papelera de reciclado y borrar el archivo Sircam.sys (si es que existe)
Debe editar el archivo Autoexec.bat y borrar la línea que se refiere al virus.

Debe restaurar la clave
HKEY_CLASSES_ROOT\exefile\shell\open\command
a su valor por default, que debe ser :  "%1" %*
(mucho cuidado con este paso o puede causar que no pueda ejecutar archivos .exe) se recomienda sacar una copia del registro antes de editarlo

Antes de editar el registro, debe copiar o renombrar regedit.exe a regedit.com de lo contrario no podrá ejecutarlo.

también debe borrar todas las entradas que mencionen al gusano.
 

nota Symantec ofrece una herramienta gratuita para remover el virus Sircam. Remocion del virus Syrcam Lea las inttrucciones, debe cerrar todos los programas que esten conrriendo, incluyendo sus antivirus.

 

Importante

Debe revisar todas las computadoras de su red. Si sospecha que hay infección, debe proteger con password sus directorios compartidos o definirlos solo con permisos de lectura.

Incluso si no hay sospecha de infección es buena idea proteger el directorio c con password de acceso.