Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/SirCam. ¡Cuidado con un mensaje así! "Hola como estas ?"
 
VSantivirus No. 375 - Año 5 - Miércoles 18 de julio de 2001

VSantivirus No. 376 - Año 5 - Jueves 19 de julio de 2001
W32/SirCam a fondo. Examen completo de este gusano

Cómo quitar el Sircam en forma automática
Cómo quitar el Sircam en forma manual
SirCam. Consejos para hacer más fácil nuestra vida

Nombre: W32/SirCam
Tipo: Virus infector de archivos, gusano y caballo de Troya
Alias: Sircam, W32/Sircam-A, W32.Sircam.Worm@mm, W32/SirCam@mm, Backdoor.SirCam, BackDoor.SirCam.188, I-Worm.Sircam, W32.Sircam, Win32.SirCam.137216
Fecha: 17/jul/01
Tamaño: 137,216

En nuestro boletín #375 anunciábamos y describíamos este virus de origen mexicano, el cuál utiliza técnicas parecidas al Magistr, para propagarse. Esta es una descripción más minuciosa y ampliada, que revela todas las acciones que puede llevar a cabo este virus, el cuál afecta a todas las variantes de Windows.

SirCam, escrito en Borland Delphi, y con características de troyano y gusano de Internet, es capaz de enviarse a si mismo, junto a documentos y otros archivos de la máquina infectada, a todos los usuarios de la libreta de direcciones de Windows, así como a todas las direcciones encontradas en los archivos temporales de Internet (caché). Esto encierra además el peligro de enviar información confidencial de la computadora infectada.

Solo en las primeras horas de su descubrimiento (17/jul/01) llegamos a recibir numerosos reportes de usuarios de habla hispana, infectados por este virus.

Posiblemente su alto nivel de propagación en esas primeras horas, haya sido favorecida tanto por sus características (un mensaje en español, aunque es capaz además de enviarse con mensajes en inglés), como también que se haya difundido a través de algunas listas de correo, antes que algún antivirus pudiera detectarlo. Actualmente todos los antivirus lo reconocen correctamente (ver "Nota"), disminuyendo por lo tanto sus posibilidades de propagarse.

Para un usuario con cierta experiencia, el hecho de que el archivo adjunto tenga una doble extensión, debería ser suficiente para eliminarlo, sin abrirlo. Sin mencionar que la primera regla que deberíamos aprender y divulgar entre todos los usuarios de correo electrónico, es que no debemos abrir jamás adjuntos que no solicitamos.

SirCam, posee además algunas peligrosas características.

Modifica el registro de modo que cada vez que se ejecute un archivo .EXE, el gusano toma el control antes. Esto dificulta su remoción del sistema.

También puede propagarse a través de computadoras en red, y posee algunas rutinas que pueden borrar información vital de las computadoras infectadas, o bloquear su funcionamiento bajo ciertas circunstancias.

El virus puede llegar en un mensaje tanto en español como en inglés (de acuerdo al sistema operativo instalado en la máquina infectada que envía el mensaje). En nuestro caso, el 99% de los reportes recibidos, han sido de versiones en español. El formato de los mensajes puede ser alguno de los siguientes, teniendo como asunto, el mismo nombre del archivo adjunto, pero sin la extensión:

 

Asunto: [Nombre archivo adjunto sin extensión]
Texto:
Hola como estas ?
Te mando este archivo para que me des tu punto de vista
Nos vemos pronto, gracias.

Archivo adjunto: [Nombre del adjunto con doble extensión]

 

Asunto: [Nombre archivo adjunto sin extensión]
Texto:
Hola como estas ?
Espero me puedas ayudar con el archivo que te mando
Nos vemos pronto, gracias.

Archivo adjunto: [Nombre del adjunto con doble extensión]

 

Asunto: [Nombre archivo adjunto sin extensión]
Texto:
Hola como estas ?
Espero te guste este archivo que te mando
Nos vemos pronto, gracias.

Archivo adjunto: [Nombre del adjunto con doble extensión]

 

Asunto: [Nombre archivo adjunto sin extensión]
Texto:
Hola como estas ?
Este es el archivo con la informacion que me pediste
Nos vemos pronto, gracias.

Archivo adjunto: [Nombre del adjunto con doble extensión]

 

Asunto: [Nombre archivo adjunto sin extensión]
Texto:
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks

Archivo adjunto: [Nombre del adjunto con doble extensión]

 

Asunto: [Nombre archivo adjunto sin extensión]
Texto:
Hi! How are you?
I hope you can help me with this file that I send
See you later. Thanks

Archivo adjunto: [Nombre del adjunto con doble extensión]

 

Asunto: [Nombre archivo adjunto sin extensión]
Texto:
Hi! How are you?
I hope you like the file that I send you
See you later. Thanks

Archivo adjunto: [Nombre del adjunto con doble extensión]

 

Asunto: [Nombre archivo adjunto sin extensión]
Texto:
Hi! How are you?
This is the file with the information that you ask for
See you later. Thanks

Archivo adjunto: [Nombre del adjunto con doble extensión]

 

Por ejemplo, si el documento fuera CARTA.DOC, el asunto sería CARTA, y el adjunto podría ser: CARTA.DOC.PIF, entre otras combinaciones (ver más adelante).

El tamaño puede variar, desde los 137,216 que ocupa el propio gusano, a la cantidad de bytes que le sume el archivo que el virus agrega a su código.

La primera extensión (la visible) puede ser .DOC, .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PIF, .PNG, .PS, .ZIP o .XLS. La segunda (no visible si se tiene la configuración por defecto de Windows), puede ser .BAT, .COM, .EXE, .PIF o .LNK.

Si el usuario ejecuta el archivo adjunto a un mensaje infectado, el virus muestra el documento o archivo verdadero, ejecutando la aplicación asociada (Word o WordPad para .DOC, etc.) al mismo tiempo que se copia en la carpeta protegida que Windows llama "Papelera de reciclaje", una con el nombre del adjunto (sin extensión), y otra como SirC32.exe:

C:\RECYCLED\SirC32.exe
C:\RECYCLED\[nombre del adjunto recibido]

En esta carpeta, permanecerá oculto para alguien que desee verlo con el explorador de Windows, a no ser que tenga activa la opción "Ver archivos ocultos o del sistema".

Luego, modifica la siguiente rama del registro para poder ejecutarse cada vez que alguien (el usuario o una aplicación) llame a un archivo .EXE:

HKCR\exefile\shell\open\command
(Predeterminado) = C:\recycled\SirC32.exe "%1" %*

También se copia a si mismo al directorio SYSTEM de Windows, con el nombre de SCam32.exe:

C:\Windows\System\SCam32.exe

Crea también el siguiente valor en el registro, a los efectos de cargarse en memoria, cada vez que Windows se reinicia:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Driver32 = C:\WINDOWS\SYSTEM\SCam32.exe

Agrega además esta entrada en el registro, donde guarda información que utiliza para su funcionamiento (datos para el envío de los mensajes):

HKLM\Software\SirCam

FB1B (los nombres de los archivos guardados en C:\Recycled)
FB1BA (la dirección IP del SMTP)
FB1BB (la dirección e-mail del emisor)
FC0 (la cantidad de veces que se ha ejecutado)
FC1 (la versión del gusano)
FD1 (el nombre del archivo ejecutado, sin la extensión)

Luego, busca todos los archivos con las siguientes extensiones, que se encuentren en la carpeta "Mis Documentos" de la computadora infectada (generalmente C:\Mis Documentos), y en el escritorio (C:\WINDOWS\Escritorio):

.DOC
.GIF
.JPG
.JPEG
.MPEG
.MOV
.MPG
.PDF
.PIF
.PNG
.PS
.ZIP
.XLS

La ubicación de "Mis Documentos" y el escritorio de Windows, lo toma de las claves "Personal" y "Desktop" de HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders.

Luego, graba la lista de estos nombres en el archivo SCD.DLL, creado en el directorio SYSTEM:

C:\Windows\System\SCD.DLL

Las direcciones de correo obtenidas en la libreta de direcciones (*.wab) y en los archivos temporales de Internet (sho*., get*., hot*. y *.htm), son grabadas en una lista similar, pero con el nombre SCD1.DLL:

C:\Windows\System\SCD1.DLL

El gusano se agrega al principio de los archivos listados en SCD.DLL, y se envía de este modo adjunto a un mensaje electrónico, pero con la doble extensión (la del archivo original más alguna de las siguientes):

.BAT
.COM
.EXE
.PIF
.LNK

Los archivos SCD.DLL y SCD1.DLL pueden variar aleatoriamente su nombre (SC?.DLL y SC??.DLL)

Las características del mensaje son las vistas más arriba.

Para distribuirse a través del e-mail, el virus utiliza sus propias rutinas SMTP (1) y las extensiones MIME (2), y puede armar un mensaje simulando que el mismo es enviado desde el Outlook Express 5.5 (X-Mailer: Microsoft Outlook Express 5.50.4133.2400), aún cuando la víctima infectada no utilice o ni tan siquiera tenga instalado este programa.

La dirección SMTP la obtiene de la máquina infectada que envió el mensaje, o utiliza alguna de las siguientes (hasta que alguna responda):

doubleclick.com.mx
enlace.net
goeke.net

Si el gusano encuentra algún recurso compartido en red, intentará copiarse en el directorio Windows de la máquina compartida (si existe), con el nombre de RUNDLL32.EXE. El archivo RUNDLL32.EXE original (usado por Windows para ejecutar un archivo DLL como una aplicación), es renombrado como RUN32.EXE.

Si esta acción se produce con éxito, el gusano modifica el archivo AUTOEXEC.BAT de esa máquina, incluyendo un comando que ejecutará el gusano en el próximo reinicio de Windows:

@win \recycled\sirc32.exe

Además de su propagación, el gusano puede realizar estas acciones:

Una de cada 33 ejecuciones, puede copiarse de C:\recycled\sirc32.exe a C:\Windows\scmx32.exe.

También puede copiarse como "Microsoft Internet Office.exe" en la carpeta indicada en esta clave del registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup

Que por defecto en Windows en español es:

C:\WINDOWS\Menú Inicio\Programas\Inicio

Esto hará que se ejecute al comienzo (además de las otras maneras de hacerlo que ya vimos).

En una de cada 50 ejecuciones, crea el siguiente archivo:

C:\RECYCLED\sircam.sys

Luego, agrega repetidamente uno de los siguientes textos a dicho archivo, hasta acabar con el espacio en el disco duro:

[SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

[SirCam Version 1.0 Copyright © 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]

En una de cada 20 veces, o el 16 de octubre de cualquier año, el gusano puede borrar todos los archivos y carpetas de la unidad C. Esto funciona solo en las computadoras con el formato DIA/MES/AÑO, o sea, la clásica configuración bajo un sistema en español (en inglés es MES/DIA/AÑO).

Finalmente, luego de 8000 ejecuciones, el virus deja de funcionar.


Para eliminar el virus de un sistema infectado en forma automática:

Puede utilizar la siguiente utilería de Symantec:

http://www.symantec.com/avcenter/FixSirc.com

Sólo bájela y ejecútela en su PC. Esta herramienta (de solo 69 Kb), hace lo siguiente:

1. Busca y borra archivos infectados con el gusano W32/Sircam.
2. Borra la siguiente clave del registro:

HKEY_LOCAL_MACHINE\Software\SirCam

3. En la siguiente clave:

HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion\RunServices

borra el siguiente valor:

Driver32

4. En la siguiente clave:

HKEY_CLASSES_ROOT\exefile\shell\open\command

modifica el valor (Predeterminado) por el siguiente:

"%1" %*

5. Quita la línea "@win \recycled\sirc32.exe" del archivo C:\Autoexec.bat.


Para quitar el virus en forma manual

Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al virus, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

command  /c  rename  c:\windows\regedit.exe  regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).

2. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Classes
exefile
shell
open
command

4. Pinche sobre la carpeta "command", y en el panel de la derecha pinche sobre "(Predeterminado)" para que aparezca la ventana "Editar cadena".

5. En Información del valor, debe borrar lo siguiente:

C:\recycled\SirC32.exe

y dejar solo esto (no debe quedar ningún espacio adelante de la primer comilla, la que debe incluirse exactamente como se expone a continuación):

"%1" %*

6. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices

7. Pinche sobre la carpeta "RunServices", y en el panel de la derecha, busque y borre la siguiente entrada:

Driver32

8. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
SirCam

9. Pinche sobre la carpeta "SirCam", y borre dicha carpeta.

10. Finalmente, utilice el menú "Registro", "Salir" para salir del editor y confirmar los cambios, y reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

11. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

command  /c  rename  c:\windows\regedit.com  regedit.exe

12. Asegúrese poder ver las extensiones verdaderas de los archivos y visualizar aquellos con atributos de "Oculto". Para ello proceda así:

  • En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
  • En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
  • En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

13. Pinche en Inicio, Buscar, Archivos o carpetas.

14. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".

15. En la casilla "Nombre" escriba (o "corte y pegue") lo siguiente (respetando las comillas):

sirc32.exe, scam32.exe, sircam.sys, scmx32.exe, "microsoft internet office.exe", scd.dll, scd1.dll

16. Pinche en "Buscar ahora".

17. Si aparecen esos archivos, márquelos.

18. Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado de cada uno.

19. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".

20. Ejecute uno (o más) antivirus actualizados para revisar y limpiar su sistema.

Si el sistema infectó el archivo RUNDLL32.EXE, deberá borrarlo, y renombrar el archivo RUN32.EXE como RUNDLL32.EXE (ambos en C:\Windows).

Borre también la línea "@win \recycled\sirc32.exe" de C:\AUTOEXEC.BAT (con el editor de Windows), tecleando desde Inicio, Ejecutar: EDIT C:\AUTOEXEC.BAT.

Nota: actualmente todos los antivirus reconocen y eliminan este virus. De cualquier modo recuerde que jamás debe abrir adjuntos no solicitados, vengan de quien vengan, aunque ningún antivirus detecte algún virus en ellos. Puede ser (como ocurrió en este caso), una versión de un virus muy reciente, y las actualizaciones de los antivirus podrían no incluirlo hasta pasadas algunas horas.

En nuestro sitio, podrá encontrar los links a estas actualizaciones.

Usuarios de Windows Me

Para limpiar el sistema en Windows Me, deberá deshabilitar la herramienta "Restaurar sistema" como se indica a continuación, y luego correr un antivirus en "Modo a prueba de fallos", iniciando la PC con la tecla CTRL pulsada hasta que aparezca la pantalla para seleccionar esta opción.

* Cómo deshabilitar la herramienta "Restaurar sistema" en Windows Me

1. Pulse con el botón derecho sobre el icono Mi PC del escritorio
2. Pinche en la lengüeta "Rendimiento"
3. Pinche sobre el botón "Sistema de archivos" en "Configuración avanzada"
4. Seleccione la lengüeta "Solución de problemas"
5. Marque la casilla "Deshabilitar Restaurar sistema"
6. Pinche en el botón "Aplicar"
7. Pinche en el botón "Cerrar" de Propiedades de Sistema de archivos
8. Pinche en el botón "Cerrar" de Propiedades de Sistema
9. Cuando se le pregunte si desea reiniciar el sistema conteste que SI

De este modo la utilidad "Restaurar sistema" quedará deshabilitada

Luego reinicie la computadora en "Modo a prueba de fallos" (pulse F8 o mantenga CTRL pulsada al reiniciar la computadora), y ejecute un antivirus al día para borrar los archivos infectados.

Para volver a habilitar la herramienta "Restaurar sistema", reitere los pasos anteriores, desmarcando la casilla "Deshabilitar Restaurar sistema" en el punto 5.

Sobre el registro de Windows

Se recomienda realizar una copia del registro cada vez que se pretenda modificarlo. Cambios incorrectos o errores, pueden ocasionar el bloqueo o imposibilidad de reiniciar Windows. Para ello, al entrar en REGEDIT, marque "Mi PC" en la ventana de la izquierda, y seleccione el menú "Registro", "Exportar archivo del registro". Guarde el archivo generado.

Para recuperar el registro, si puede ingresar a Windows, ejecute REGEDIT, seleccione "Registro", "Importar archivo del registro" y seleccione el archivo guardado antes.

Para restaurar el Registro desde MS-DOS.

1. Haga clic en Inicio y después haga clic en Apagar el sistema.

2. Haga clic en Reiniciar en modo MS-DOS y después en Aceptar (o pulse CTRL o F8 al reiniciar la computadora para entrar en el menú de inicio y seleccionar "Sólo símbolo del Sistema").

3. Escriba en la línea de comandos lo siguiente:

scanreg  /restore

4. Seleccione una versión del registro anterior a la actual, y reinicie su equipo.

Glosario:

(1) SMTP (Simple Mail Transport Protocol) - Protocolo simple de transferencia de correo. Es el protocolo más utilizado en Internet para el envío de correo electrónico.

(2) MIME (Multipurpose Internet Mail Extensions) - Es un protocolo que no especifica los mecanismos de transmisión o recepción de la información, sino la codificación y formato de los contenidos de los mensajes. Permite el envío y recepción de contenidos complejos tales como programas ejecutables, sonidos, imágenes, o cualquier información que no sea en esencia solo texto, sino de contenido binario. MIME clasifica los contenidos que se incluyen en los mensajes de correo según su naturaleza. En la cabecera del mensaje se añaden dos etiquetas (MIME-Version y Content-type), en la que la segunda especifica en qué grupo de la clasificación se incluiría el contenido incluido en el cuerpo del mensaje.


Ver también:

VSantivirus No. 381 - 24/jul/01
SirCam. Consejos para hacer más fácil nuestra vida


Fuentes: McAfee, Symantec, Panda, Kaspersky, Sophos, CAI
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS