O worm W32/SirCam é mais um das novas pragas lançadas em 2001. É um worm bem complexo, e que se dissemina de forma automática através de: e-mail e rede local. Aparentemente esse worm tem um payload destrutivo, disparado no dia 16 de outubro, em máquinas cujo formato de data seja D/M/A, como o mexicano - onde foi criado - e o brasileiro.
O vírus chega num e-mail cujo assunto pode variar, mas traz sempre uma breve mensagem, em inglês ou em espanhol, que diz ao destinatário algo como: "Olá, como vai?"
Complementando em seguida com uma de quatro frases possíveis:
“Envio-lhe este arquivo para obter seu conselho”. Ou, então, “Espero que você possa me ajudar com este arquivo”. Ou, “Este é o arquivo com a informação que você pediu”. Ou, ainda, "Espero que goste do arquivo que estou e enviando". O corpo da mensagem é encerado com a expressão: "Vejo você mais tarde. Obrigado"

O arquivo anexo, que origina sempre o campo ASSUNTO da mensagem de e-mail, é um arquivo de tamanho superior a 180 KB, de dupla extensão, composto por dois arquivos: um é o arquivo cujo nome original serviu para criar o campo assunto e o nome do anexo enviado, sempre originalmente de uma de três extensões: ZIP, DOC ou XLS, e o outro - que lhe é inserido ao final de seu código, e que é o próprio código viral do SirCam - denominado SIRC32.EXE, de tamanho igual a 137.216 bytes. O arquivo anexo então é nominado como no exemplo abaixo:

Exemplo: Arquivo originalmente selecionado pelo vírus (PLANILHA DE CUSTOS.XLS) => Anexo se torna = PLANILHA DE CUSTOS.XLS.PIF (esta segunda extensão pode ser também COM, EXE ou LNK, embora PIF ocorre na maioria das vezes, e em alguns sistemas não configurados corretamente, se apresenta apenas como PLANILHA DE CUSTOS.XLS - enganando os usuários desses micros mau configurados). Neste exemplo o Assunto da mensagem seria "PLANILHA DE CUSTOS".

Se esse anexo for executado, ele copia o anexo original para a LIXEIRA, extrai o componente viral, SIRC32.EXE, dentro da lixeira, e cria uma cópia de si mesmo no diretório de sistema, com o nome SCAM32.EXE. Em seguida o worm W32/SirCam cria algumas chaves no Registro do Windows, entre elas:

* HKEY_CLASSES_ROOT \exefile \shell \open \command \Default="C:\recycled\SirC32.exe" "%1" %" 
* HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServices \Driver32=C:\WINDOWS\SYSTEM\SCam32.exe 
* HKEY_LOCAL_MACHINE \Software \Sircam 

O worm insere, dentro do arquivo S?D.DLL (no lugar do símbolo ? o worm insere um caracter aleatório!) criado dentro da pasta SYSTEM, uma lista dos arquivos DOC, XLS e ZIP que encontra dentro da pasta MEUS DOCUMENTOS, arquivos estes que o worm usará para criar e enviar os anexos com a dupla extensão. Os endereços de e-mail o SirCam obtém dos arquivos WAB encontrados nos discos (são arquivos do Windows Address Book usados pelo Outlook e pelo Outlook Express), além de endereços de e-mail obtidos numa busca efetuada pelo worm dentro das pastas temporárias do Internet Explorer. Esses endereços são armazenados dentro de um arquivo com o nome S??1.DLL (no lugar dos símbolos ? o worm insere um caracter aleatório!) que também é criado dentro dda pasta SYSTEM.

Um característica peculiar a esse worm é que ele tenta enviar os e-mails através do servidor do usuário contaminado que enviou a mensagem para você. Se esse servidor SMTP não permitir RELAY, ou estiver indisponível quando dos momentos de enviar os e-mails contaminados para fora de sua máquina, ele tenta utilizar um de três servidores SMTP altrnativos: ENLACE.NET, GOEKE.NET ou DOUBLECLICK.COM.MX. 

Sintomas da Infecção:
Presença do arquivo SCAM32.EXE na pasta \WINDOWS\SYSTEM;
Existência das chaves citadas, acima, dentro do Registro do Windows;

Remoção da Infecção:
Use seu anti-vírus, com vacinas e engine atualizados. Não esqueça de confirmar que o anti-vírus vai escanear também a pasta RECYCLED - a Lixeira do Windows.
No caso de seu anti-vírus não estiver muito atualizado, ou na dúvida sobre sua atualização, assegure-se de limpar o registro do Windows ANTES de eliminar o código viral - em caso contrário seu Windows parará de funcionar;
No caso do Windows ME execute o processo especial de limpeza na pasta _RESTORE;

Última atualização: domingo, 27 de julho de 2003