W32/SirCam
Nombre: W32/SirCam
Alias: Sircam, W32/Sircam-A, W32.Sircam.Worm@mm, W32/SirCam@mm,
Backdoor.SirCam, BackDoor.SirCam.188, I-Worm.Sircam, W32.Sircam, Win32.SirCam.137216
Tipo: Virus infector de archivos, gusano y caballo de Troya
Origen: Mexico
Tamaño: 137,216 bytes
Fecha: 17/07/01
Gravedad: Alta (borra archivos de Windows y filtra información del
usuario)
SirCam, está escrito en Borland Delphi, y con características de troyano y
gusano de Internet, es capaz de enviarse a si mismo por correo electrónico en distintos mensajes en
inglés y español, junto a documentos y otros
archivos de la máquina infectada, a todos los usuarios de la libreta de
direcciones de Windows, así como a todas las direcciones encontradas en los
archivos temporales de Internet (caché). Esto encierra además el peligro de
enviar información confidencial de la computadora infectada.
Posiblemente su alto nivel de propagación, haya sido
favorecida tanto por sus características (un mensaje en español, aunque es
capaz además de enviarse con mensajes en inglés), como también que se haya
difundido a través de algunas listas de correo, antes que algún antivirus
pudiera detectarlo. Actualmente todos los antivirus lo reconocen correctamente disminuyendo por lo tanto sus posibilidades de propagarse.
Para un usuario con cierta experiencia, el hecho de que el archivo adjunto tenga
una doble extensión, debería ser suficiente para eliminarlo, sin abrirlo. Sin
mencionar que la primera regla que deberíamos aprender y divulgar entre todos
los usuarios de correo electrónico, es que no debemos abrir jamás adjuntos que
no solicitamos.
SirCam, posee además algunas características peligrosas.
Modifica el registro de modo que cada vez que se ejecute un archivo .EXE,
el gusano toma el control antes. Esto dificulta su remoción del sistema.
También puede propagarse a través de computadoras en red, y posee algunas
rutinas que pueden borrar información vital de las computadoras infectadas, o
bloquear su funcionamiento bajo ciertas circunstancias.
El virus puede llegar en un mensaje tanto en español como en inglés (de
acuerdo al sistema operativo instalado en la máquina infectada que envía el
mensaje). El formato de los mensajes puede ser alguno de los
siguientes, teniendo como asunto, el mismo nombre del archivo adjunto, pero sin
la extensión (la parte en rojo es la parte variable del mensaje, pudiendo ser
elegida cualquiera de las cuatro expresiones, mientras que lo que está en azul
son las expresiones que siempre aparecen.):
Asunto: [Nombre archivo adjunto sin
extensión]
Texto:
Hola como estas
?
Te mando este archivo para que me des tu
punto de vista
Espero me puedas
ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la información que
me pediste
Nos vemos pronto, gracias.
Archivo adjunto: [Nombre del adjunto con doble extensión]
En inglés:
Asunto: [Nombre archivo adjunto sin
extensión]
Texto:
Hi! How are
you?
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send you
This is the file with the information that you ask for
See you later. Thanks.
Archivo adjunto: [Nombre del adjunto con doble extensión]
Por ejemplo, si el documento fuera CARTA.DOC, el asunto
sería CARTA, y el adjunto podría ser: CARTA.DOC.PIF, entre otras
combinaciones (ver más adelante).
El tamaño puede variar, desde los 137,216 que ocupa el propio gusano, a
la cantidad de bytes que le sume el archivo que el virus agrega a su código.
La primera extensión (la visible) puede ser .DOC, .GIF, .JPG, .JPEG, .MPEG,
.MOV, .MPG, .PDF, .PIF, .PNG, .PS, .ZIP o .XLS. La segunda (no
visible si se tiene la configuración por defecto de Windows), puede ser .BAT,
.COM, .EXE, .PIF o .LNK.
Si el usuario ejecuta el archivo adjunto a un mensaje infectado, el virus
muestra el documento o archivo verdadero, ejecutando la aplicación asociada
(Word o WordPad para .DOC, etc.) al mismo tiempo que se copia en la carpeta
protegida que Windows llama "Papelera de reciclaje", una con el
nombre del adjunto (sin extensión), y otra como SirC32.exe:
C:\RECYCLED\SirC32.exe
C:\RECYCLED\[nombre del adjunto recibido]
En esta carpeta, permanecerá oculto para alguien que desee
verlo con el explorador de Windows, a no ser que tenga activa la opción "Ver
archivos ocultos o del sistema".
Luego, modifica la siguiente rama del registro para poder ejecutarse cada vez
que alguien (el usuario o una aplicación) llame a un archivo .EXE:
HKCR\exefile\shell\open\command
(Predeterminado) = C:\recycled\SirC32.exe "%1" %*
También se copia a si mismo al directorio SYSTEM de Windows, con el nombre de SCam32.exe:
C:\Windows\System\SCam32.exe
Crea también el siguiente valor en el registro, a los efectos de cargarse en memoria, cada vez que Windows se reinicia:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Driver32 = C:\WINDOWS\SYSTEM\SCam32.exe
Agrega además esta entrada en el registro, donde guarda información que utiliza para su funcionamiento (datos para el envío de los mensajes):
HKLM\Software\SirCam
FB1B (los nombres de los archivos guardados en C:\Recycled)
FB1BA (la dirección IP del SMTP)
FB1BB (la dirección e-mail del emisor)
FC0 (la cantidad de veces que se ha ejecutado)
FC1 (la versión del gusano)
FD1 (el nombre del archivo ejecutado, sin la extensión)
Luego, busca todos los archivos con las siguientes extensiones, que se encuentren en la carpeta "Mis Documentos" de la computadora infectada (generalmente C:\Mis Documentos), y en el escritorio (C:\WINDOWS\Escritorio):
.DOC
.GIF
.JPG
.JPEG
.MPEG
.MOV
.MPG
.PIF
.PNG
.PS
.ZIP
.XLS
La ubicación de "Mis Documentos" y el escritorio de
Windows, lo toma de las claves "Personal" y "Desktop"
de HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders.
Luego, graba la lista de estos nombres en el archivo SCD.DLL, creado en
el directorio SYSTEM:
C:\Windows\System\SCD.DLL
Las direcciones de correo obtenidas en la libreta de direcciones (*.wab) y en los archivos temporales de Internet (sho*., get*., hot*. y *.htm), son grabadas en una lista similar, pero con el nombre SCD1.DLL:
C:\Windows\System\SCD1.DLL
El gusano se agrega al principio de los archivos listados en SCD.DLL, y se envía de este modo adjunto a un mensaje electrónico, pero con la doble extensión (la del archivo original más alguna de las siguientes):
.BAT
.COM
.EXE
.PIF
.LNK
Los archivos SCD.DLL y SCD1.DLL pueden variar
aleatoriamente su nombre (SC?.DLL y SC??.DLL)
Las características del mensaje son las vistas más arriba.
Para distribuirse a través del e-mail, el virus utiliza sus propias rutinas SMTP y las extensiones
MIME, y puede
armar un mensaje simulando que el mismo es enviado desde el Outlook Express 5.5
(X-Mailer: Microsoft Outlook Express 5.50.4133.2400), aún cuando la víctima
infectada no utilice o ni tan siquiera tenga instalado este programa.
La dirección SMTP la obtiene de la máquina infectada que envió el
mensaje, o utiliza alguna de las siguientes (hasta que alguna responda):
doubleclick.com.mx
enlace.net
goeke.net
Si el gusano encuentra algún recurso compartido en red,
intentará copiarse en el directorio Windows de la máquina compartida
(si existe), con el nombre de RUNDLL32.EXE. El archivo RUNDLL32.EXE
original (usado por Windows para ejecutar un archivo DLL como una aplicación),
es renombrado como RUN32.EXE.
Si esta acción se produce con éxito, el gusano modifica el archivo AUTOEXEC.BAT
de esa máquina, incluyendo un comando que ejecutará el gusano en el próximo
reinicio de Windows:
@win \recycled\sirc32.exe
Además de su propagación, el gusano puede realizar estas
acciones:
Una de cada 33 ejecuciones, puede copiarse de C:\recycled\sirc32.exe
a C:\Windows\scmx32.exe.
También puede copiarse como "Microsoft Internet Office.exe" en
la carpeta indicada en esta clave del registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup
Que por defecto en Windows en español es:
C:\WINDOWS\Menú Inicio\Programas\Inicio
Esto hará que se ejecute al comienzo (además de las otras
maneras de hacerlo que ya vimos).
En una de cada 50 ejecuciones, crea el siguiente archivo:
C:\RECYCLED\sircam.sys
Luego, agrega repetidamente uno de los siguientes textos a dicho archivo, hasta acabar con el espacio en el disco duro:
[SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright © 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]
En una de cada 20 veces, o el 16 de octubre de
cualquier año, el gusano puede borrar todos los archivos y carpetas de la
unidad C. Esto funciona solo en las computadoras con el formato DIA/MES/AÑO,
o sea, la clásica configuración bajo un sistema en español (en inglés es
MES/DIA/AÑO).
Finalmente, luego de 8000 ejecuciones, el virus deja de funcionar.