 |
|---|
W32/SIRCAM@MM
Nombre : W32/SirCam@MM
Riesgo : Medio -Alto
Fecha de descubrimiento : 7 Julio 2001
Origen : Posiblemente Michoacán, México
Longitud : Variable
Peso : 137 K
Sintomas de Infeccion:
Mientras está funcionando, SirCam realiza un envío masivo de correo electrónico, si se desconecta el equipo de la línea o se cancela la conexión, el virus tratará de reenviarse una y otra vez, la apartición de un archivo RUN32.dll en el directorio: C:\WINDOWS o Scam32.exe en el directorio C:\WINDOWS\SYSTEM
Características :
Este virus funciona de forma masiva reenviandose a todas las direcciones localizadas en la libreta de direcciones de los programas de manejo de correo electrónico y las que se puedan ubicar dentro del caché de Internet, los llamados archivos temporales.
Se reenvía eligiendo al azar un archivo de la carpeta Mis documentos que es regularmente donde los usuarios guardan información personal, despues de elegir un archivo lo infecta y envía este archivo como datos adjuntos en un mail que puede ser enviado en inglés o español según entienda la ubicación del sistema infectado.
El mensaje recibido desde un equipo infectado con este virus es como sigue:
Titulo : Nombre del archivo infectado (variable)
Mensaje : Hola como estas?
y alguna de las siguientes líneas, una sola, variable :
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayuadr con el archivo que te mando
Espero que te guste este archivo que te mando
Este es el archivo con la informacion que me pediste
Por ultimo agrega una despedida :
Nos vemos pronto, gracias.
Hay otras opciones de mensaje generadas por SirCam, según el análisis que he realizado son cerca de 16, pero no se usan frecuentemente, por lo que no hablaré de ellas.
Como dato adjunto a este mensaje, SirCam agrega el archivo infectado, un archivo con doble extension, el nombre del archivo, como indiqué, es variable, la primera extensión es la que el usuario puede ver si aún tiene protegido windows para ocultar las extensiones para archivos conocidos, desde este momento, el usuario puede detectar que hay algo raro en este archivo.
Cuando se ejecuta, el documento infectado es guardado dentro de la carpeta C:\RECYCLED y entonces se abre, mientras el virus se autocopia a C:\RECYCLED\SirC32.exe folder, para indicar su prescencia y crear las llaves de registro necesarias para ejecutarse automáticamente siempre que un archivo .EXE sea ejecutado.
La llave de registro es la siguiente:
HKEY_CLASSES_ROOT\exefile\shell\open\command
\Default="C:\recycled\SirC32.exe" "%1" %*
Tambien se copia en el directorio WINDOWS/SYSTEM como SCam32.exe y crea una llave de registro para cargarse automáticamente:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices\Driver32=C:\WINDOWS\SYSTEM\Scam32.exe
Los archivos que se encuentran en la carpeta Mis Documentos y que tengan alguna de las siguientes extensiones serán guardados en un archivo .DLL en el folder SYSTEM, estos archivos son : GIF, JPG, JPEG, MPEG, MOV, PDF, PNG, PS, DOC, XLS y ZIP.
Las direcciones que recoja del cache de Internet y de la libreta de direcciones son alojadas igualmente en un archivo DLL en el mismo directorio, los nombres de estos dos archivos son SCD.DLL y SCD1.DLL, aunque parece que la tercera letra del nombre es aleatoria, a veces agrega un caracter más.
Despues de realizar estos archivos de respaldo, el gusano elige uno de ellos, lo infecta, lo agrega a un correo falso generado con el cuerpo de mensaje como explique arriba y lo envía directamente conectandose a un servidor SMTP, pero esta vez ya como virus, el archivo infectado tendrá doble extensión, la segunda es la que nos hará darnos cuenta que dicho archivo esta infectado, esta extension peude ser cualquiera de las siguientes:
.BAT, .COM, .EXE, .PIF, .LNK, .SCR
Si encuentras un archivo que lleve una doble extension y este incluida alguna de estas, no lo abras.
Aparentemente lleva un registro de archivos infectados y correos enviados por medio de una llave:
HKEY_LOCAL_MACHINE\Software\SirCam
Si el virus entra en un sistema de red, también puede infectar a los otros equipos por medio de los recursos compartidos.
Los daños que causa al sistema inicial es reemplazar el programa rundll32.exe con una copia infectada y este archivo es renombrado a RUN32.EXE, asi mismo agrega una línea al archivo AUTOEXEC.BAT al principio del cual se encuentra:
@win \recycled\Sirc32.exe
Una vez infectado el sistema, el virus satura los recursos del sistema por envío masivo de correos electrónicos, usando el máximo de memoria disponible, mientras elimina archivos importantes del sistema, los renombra y llena el disco duro agregando texto de manera infinita a un archivo de papelera de reciclaje de SirCam.
Lo importante de este virus es que toma la dirección de correo electrónico del usuario del sistema infectado y es con esta dirección que se reenvía a todas las direcciones de correo electrónico que encuentra, de este modo, la persona que recibe el virus, piensa que es un archivo inofensivo de un amigo, familiar o conocido, lo abre y entonces el proceso se repite en un nuevo equipo.
