¡¡NUEVO VIRUS!!. "Se llama I.Worm.Sircam.c y se propaga por correo electrónico"

¡¡NUEVO VIRUS!!. "Se llama I.Worm.Sircam.c y se propaga por correo electrónico"
Se ha detectado un nuevo virus llamado I-Worm.Sircam.c de muy rápida difusión en el mundo hispanoparlante. El virus en concreto tiene su origen en México y se reproduce a través del correo electrónico a gran velocidad. El I-Worm.Sincam.c aparece con un "subject" de un antiguo correo y con un mensaje del tipo: "Hola como estas? Te mando este archivo para que me des tu punto de vista Nos vemos pronto, gracias". La primera extensión del archivo que se adjunto puede ser .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, o .ZIP mientras que la última y realmente importante puede ser .BAT, .COM, .EXE, .LNK o .PIF.

Completamos la información con el boletín recibido de AVP:

"El gusano I-Worm.Sircam.c es extremadamente peligroso, por lo que es recomendable que se actualicen los antivirus a la mayor brevedad. En la mañana del miércoles 18 se ha realizado una actualización especial alrededor de las 12:00h hora de España con lo que todos los usuarios que hayan actualizado después de esa hora ya tienen protección contra el virus.

Al infectar un ordenador, el virus se copia a sí mismo con el nombre "sirc32.exe" a la carpeta RECYCLED que es el nombre con el que Windows llama a la Papelera de Reciclaje. Este sistema de ocultación es ingenioso porque algunos antivirus, entre los que NO se encuentra el AVP, no comprueban dicha carpeta por defecto. Además, crea una copia de sí mismo en el archivo "scam32.exe" en la carpeta WINDOWSSYSTEM.

También modifica el registro para que ambos programas se ejecuten continuamente, el scam32.exe cada vez que arranca el ordenador, y el sirc32.exe cada vez que se ejecuta un programa EXE. Este método de autoinstalarse para ejecutarse cada vez que se intenta ejecutar un programa EXE también fue utilizado en su momento por el popular virus NAVIDAD.

Dependiendo de ciertas condiciones aleatorias, el virus también se copia a sí mismo en la carpeta WINDOWS con el nombre "ScMx32.exe" y el la carpeta de Inicio con el nombre "Microsoft Internet Office.exe". Estos dos archivos no son creados siempre, sino solo de forma aleatoria. Finalmente, el virus renombra un archivo del sistema de Windows, el RUNDLL32.EXE como RUN32.EXE y se copia a sí mismo una vez mas, esta vez con el nombre robado de RUNDLL32.EXE

El virus también se reproduce a través de la red local. Todos los ordenadores que estén conectados al ordenador infectado reciben una copia del archivo Sirc32.exe en la carpeta RECYCLED, y el virus modifica los AUTOEXEC.BAT de los ordenadores remotos para incluir la línea @win recycledSirC32.exe, que asegura que el virus se ejecute durante el siguiente reinicio del ordenador. El peligro del virus radica en que dependiendo de la fecha y la hora del sistema, el gusano borra información del disco duro.

En una de cada 20 ejecuciones borra todos los archivos de la carpeta WINDOWS y todas las subcarpetas que allí encuentre. En una de cada 50 ejecuciones, el virus crea el fichero SIRCAM.SYS en el directorio raíz del disco duro y escribe uno de los siguientes textos: [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX] [SirCam Version 1.0 Copyright © 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico] El virus escribe este texto en el fichero hasta que ocupa todo el espacio libre del disco duro".

 

Comentarios (34)

Alex Nahuelñir Aedo
20 de Julio del 2001
Soy un usuario chileno, y con respecto a este virus llego a nuestra empresa y me ha tocado desinfectar o remover este virus en forma manual del registro de windows. Esto es bien sencillo, para la gente que se ha infectado, pueden encontrar el antidoto en la siguiente direccion www.bysupport.cl.
Rodry
20 de Julio del 2001
Joer que mala leche tiene el virus ese, cuando empecé a leer el artículo me dije, andá si este archivo lo recibí hoy por la mañana, pero su segunda extensión .com me hizo desconfiar y no me lo bajé del correo electrónico. Y es que hai gente con una mala leche por ahi...
Carlos
20 de Julio del 2001
Hoy en la mañana me llegó el virus, menos mal que había leido previamente la información del mismo y no abrí el archivo adjunto. Lo reconocí por supuesto por el subject y el contenido del mensaje, pero me dió mucha desconfianza la extensión del archivo adjunto .exe
Santiago Franchi
20 de Julio del 2001
He recibido este virus por correo. Menos mal que vi este artículo a tiempo porque estuve apunto de abrir el programa .COM que recibí. El mensaje dice en su totalidad:

Hi! How are you?

I send you this file in order to have your advice

See you later. Thanks

Y el asunto es: Avances hasta el 16 de julio de 2001. El archivo adjunto se llama "Avances hasta el 16 de julio de 2001.doc.com"
rolaz
21 de Julio del 2001
lo ke se me hace muuuy interesante es ke el subject del mail kambia y el kontenido tambien, asi komo el nombre y extension del archivo...
se hace "automatiko" o sera ke a kada persona ke le llega lo edita y lo reenvia?? jejeje......pues a mi ya me llego y nadamas lo baje, uno nunka sabe kuando se vaya a "ofrecer" jejeje...saludos y mucho kuidado ;)
Armando
21 de Julio del 2001
Pues yo cai, de a feos, me contagie y ahora no puedo sacarlo del sistema, ya probe la cura pero el virus permanece aqui, que mas puedo hacer??
guillermo de aguinaga
21 de Julio del 2001
Yo pensé que a mi no me iba a pasar pues casi nadie me escribe. Y recibí este email virus. Si alguien me llegó a mandar algo a mi es que ya se lo mandaron a medio mundo.
GusKu
21 de Julio del 2001
A mi tambien me ha llegado... pero tambien desconfie eso de .DOC.PIF no suele dar buena señal.

En fin un consejo, si alguien recibe un fichero, aunque sea de alguien conocido y esta en la duda porque no le he pedido que envie ninguno, simplemente escribirle y decirle "me has enviado ..." y si te responde que si que puedes ejecutarlo .. pues ya tienes un poco mas de seguiridad (aunque como siempre es relativo)

Un saludo...

PD: me gusta el comentario de la casa :P
Rafa
21 de Julio del 2001
Yo recibo muchos correos y tengo por norma leer todos.Eso no significa nada y no hay ningún peligro en ello.Pero si me viene un correo desconocido y con un fichero vinculado...¡¡¡ automáticamente lo destruyo ¡¡¡.Si resulta que era de alguien conocido y cuyo correo no conocía,ya me volverá a llamar o a enviar el correo...Tambien yo he recibido el Virus,pero nada más ver la ¿dirección? y con fichero vinculado...¡¡¡ZAS,a la basura.¡¡¡.Y el asunto queda zanjado...
Delfin Muñoz
21 de Julio del 2001
Por favor ayudenme, trabajo en una empresa de 100 usuarios, di la advertencia, pero que va abrieron el mail. Lo desinstalo con el antivirus inoculate, pero al reiniciar vuelve y carga. He entrado al registry he quitado las configuraciones q hace el virus y todavia persiste, igual vuelve a crear el comando en el autoexec.
Cristina Mendez
22 de Julio del 2001
En el portal http://www.usuariotop.com.ar encontre toda la informacion sobre este virus y alli mismo tienen dos archivos que mediante un procedimiento muy simple borra el virus y restaura los registros de Windows sin que quede rastro del paso de este virus por el equipo.

Cristina
Israel Humberto Cavazos Mtz
22 de Julio del 2001
Hola trabajo en una empresa a nivel nacional en mexico este virus tambien nos afecto comenso el miercoles nadie sabia nada de este virus y ya saben como son los usuarios de ciriosos con los mail.
Bueno lo primero que me di cuenta es que las maquinas al iniciarlas iniciaban muy arranadas y cuando la apagabas decia que estaban varios usuarios conectador, despues me habla un usuario esto es para que se den cuenta de lo que hace el virus, me dice mi maquina no prende entonces voy y decia disco incorrecto me fijo en el floopy y no tenia entonces dije a caray entonce entre al disco duro por medio de un disco de inicio y me di cuenta que en el directorio raiz solo estaban las carpetas archivos de programa y windows entre a la carpeta windows y no estaba completa le borro toda la informacion tengan cuidado este virus es peligroso, y se distribuye rapidamente llegando a una red de area local si necesidad de correo.
axp666
22 de Julio del 2001
oleee tios hasta que se creea un virus en mi tierra natal, la verdad que aqui en mexico no he oido problemas del virus pero quiero ver que pasa, si alguna vez me encuentro con el voy a investigarlo a fondo.
Luis Eduardo
23 de Julio del 2001
En la empresa que trabajo llego copia de este email pero como el destinatario era conocido, por tal razon lo abrimos,con las siguientes consecuencias:
-La bandeja de entrada de outlook express no abre
-el emulador Tun Emul no abre con el metodo abreviado
Los quite y los volvi instalar y sigue igual.SI ALGUIEN CONOCE UNA SOLUCION PARA ESTE PROBLEMA LE AGRADEZCO QUE ME RESPONDA.
Carlos
23 de Julio del 2001
Hace unos minutos acabo de recibir un correo con este virus, el subject que ha utilizado es presentación y es enviado por un tal "OSO", cuyo correo es "oso@prodigy.net.mx".
Marcelo
23 de Julio del 2001
EL dia jueves 19 recibi un e-mail, respecto a un virus que se propaga via e-mail con las caracteristicas por todos ya conocidos, y lo reenvie a los demas usuarios, pero no faltaron a los que llego el e-mail con el virus y ejecutaron el atachment, esto el dia viernes 20.- comenzo por que el equipo que creo que lo ricibio primero, estaba bastante lento y aparecian otros usuarios de la red conectado e este equipo, tambien comanzaron a recibir e-mail de otro usuario a otro dentro de la misma empresa, con este virus, he logrado eliminar los registros del virus, gracias al sitio bysupport.cl y elsitio.com. el primer dato me lo dieron de la empresa G&C COMPUTACION S.A..-
Manuel Monsalve
23 de Julio del 2001
Trabajo en una empresa donde realizo soporte informático a más de 100 usuarios. El jueves 19 de julio me di cuenta que se nos metio el virus, ya que habia un equipo muy lento y que al apagarlo aparecian varios usuarios conectados a las carpetas compartidas.
Lo siguiente me ha dado un buen resultado.
1.- Descompartir todas las carpetas.
2.- Editar el autoexec.bat y borrar la o las líneas donde aparesca el virus.
3.- Buscar y borrar desde el registro de windows todo lo referente a Sircam32.exe y ha Scam.exe.

En lo posible no deben compartir las carpetas, ya que de lo contrario el equipo se vuelve a infectar.
Helmut Erick Reyes Roman
23 de Julio del 2001
Para la s personas que se hayan infectado con el virus Sircam les doy la solucion de como quitarlo sin problemas.

Reiniciar el sistema en modo msdos

renombrar el archivo regedit.exe a regedit.com

esto con el fin de que cuando de carge el registro no se active el virus ya al ejecutar cualquier extension exe este se activa.

una vez hecho esto reiniciar el equipo en modo prueba de fallos

ir a menu inicio ejecuatar

escribir lo siguiente: regedit.com

una vez ejecutado el registro buscar la siguiente rama

HKEY_CLASSES_ROOT
Helmut Erick Reyes Roman
23 de Julio del 2001
Para las personas que se hayan infectado con el virus Sircam les doy la solucion de como quitarlo sin problemas.

Reiniciar el sistema en modo msdos

renombrar el archivo regedit.exe a regedit.com

esto con el fin de que cuando de carge el registro no se active el virus ya al ejecutar cualquier extension exe este se activa por eso se le cambia el nombre al registro.

una vez hecho esto reiniciar el equipo en modo prueba de fallos

ir a menu inicio ejecutar

escribir lo siguiente: regedit.com y enter

una vez ejecutado el registro buscar la siguiente rama

HKEY_CLASSES_ROOT
exefile
defaulficon
editar la rama quitando:

"Windows\sircam32.exe"%1%"

dejandolo como "%1%"

ir a la siguiente rama

HKEY_LOCAL_MACHINE
software
microsoft
windows
currentversion
runservices
editar runservices eliminando la siguiente configuraciòn

dentro del rundervices quitar DRIVE32 = "C:\WINDOWS\SYSTEM\SIRCAM32.EXE"

Reiniciar el equipo y listo el virus del sircam a sido eliminado desde el registro y ya no fastidiara mas.




Carolina Cadenas
23 de Julio del 2001
Les saludo a todos. He podido ver miles de comentarios con respecto a este nuevo virus, que al parecer comenzó a molestar a partir del 19/07. Existe muchas direcciones que presentan una serie de procedimientos a seguir. Sumado a ello, las personas que tengan como antivirus en sus máquinas y servidores Mcafee, ya tienen a disposición los DAT files que detectan este virus, a través de www.mcafee.com. Es freeware. Yo pienso que lo más importante es no ejecutar ningún attachment en sus email hasta no tener una solución definitiva y eficaz de este virus.
PEDRO ANGEL
23 de Julio del 2001
MIRO SU PAGINA A DIARIO PARA VER NUEVOS AVISOS, TRABAJO EN UNA EMPRESA DE INTERNET, Y LO QUE ME GUSTARIA ES QUE NOS DIERAN UN LISTADO DE LOS VIRUS MAS PELIGROSOS QUE EXISTEN EN LA RED, YA QUE EN TODO EL MUNDO ME IMAGINO QUE DEBEN DE HABER MUCHOS QUE MATARIAN NUESTRAS COMPUTADORAS, Y NOS BORRAN ARCHIVOS MUY IMPORTANTES.... AL MENOS UN LISTADO CHICO...... GRACIAS.
beb80
23 de Julio del 2001
El mail con el virus lo empece a recibir desde el miercoles 18 y siempre fueron distintos los destinatarios.Tres veces hasta el sabado lo recibi.
En verdad el que te lo envia no tiene nada que ver y el incompetente que realmente lo envio obtuvo todas nuestras direcciones del listado de programadores de esta pagina.
De todas formas todos los que tenemos nociones de programacion no ibamos a abrir un atachment con doble extension.
el negro Martin
23 de Julio del 2001
Tambien fuimos victimas de "w32.sircam.wom@mm" y lo removimos con un ejecutable de Norton si alguien lo necesita pidanmelo, se los envio.
adriana casas
23 de Julio del 2001
hola.
este virus nos llego a la oficina y uno de los usuarios de correo lo abrio.
tenemos actualizado el Mcafee. hemos bajado mucha informacion sobre como eliminarlo. cuando chequeamos y eliminamos huellas en el registro, en el Sysedit y eliminamos el RunDll32, aparentemente se limpia el virus, pero mas o menos a los 10 minutos vuelve a aparecer. si tienes alguna sugerencia o alguna direccion en internet para estudiar mas acerca de este virus, te lo agradezco.
xtof
23 de Julio del 2001
Pos q keréis q os diga, io lo he recibío desde "Cnfederacion Benidorm" i no lo he abierto porq:

a) No se quien me lo envió, así q paso
b) me parece rarísima la extensión "*.zip.com", así que paso

Asi que supongo que tengo suerte, pero ia he hecho una regla más en el Outlook pa evitar q se me descargue por siaca ^_^
juan Francisco
24 de Julio del 2001
Lo he comentado con amigos que estan registrados en vuestra pagina y a todos le ha llegado el "virus", (y todos mas o menos al mismo tiempo), en cambio a otras personas que no estaban registrados no le ha llegado nada... La "gente" va diciendo por ahi que esto resulta sospechoso......
En fin., a ver como termina....
TAFS
24 de Julio del 2001
Ya nos intentaron meter este virus, con un correo adjunto. Alcanzamos a darnos cuenta y simplemente lo eliminamos.
Pedro Amaro
24 de Julio del 2001
El virus nos ha llegado a la empresa en Tres ocaciones (1 ayer y 2 Hoy) con remitentes diferentes y nombres de ficheros y subject diferentes pero con el mismo cuerpo del mensaje en español y en ingles el segundo de hoy. Ya al llegar el primero lo habiamos analizado y identificado como virus asi que hemos borrado todos los email que llegan con ficheros adjuntos con doble extención. Han llegado con extencion .com .lnk y .pif
Por si acaso hemos revisado todos los equipos de la red y solo encontramos en uno que tiene WinMe un fichero en la carpeta _Restore\Temp con extención CYP que no nos dejaba eliminar y hemos reiniciado en MSDOS y lo borramos a pelo.
Pedro Amaro
24 de Julio del 2001
Hemos ejecutado aposta el virus para realizar la limpieza y se confirman todas las noticias que tenemos sobre el, pero ademas hemos descubierto una clave en el registro del sistema

HKEY_LOCAL_MACHINE\Software\SirCam

con referencias a los ficheros del virus y una dirección de correo que supongo es desde donde nos llego.
Webmaster de PortalVB.com
25 de Julio del 2001
Por si a algun@ le interesa;

En PortalVB.com en las noticias del día 24 (en la sección de Servicios), encontrareis un remedio que soluciona este problema.

Espero que sea de ayuda.

Un saludo.
ShadowBlaster
25 de Julio del 2001
VIRUS EXTREMADAMENTE PELIGROSO!!!!!!!
Parece que el objetivo de este virus, ademas de dañar es dar a conocer en el mundo que en Mexico exiten buenos programadores, pero parace que el proyecto se fue mas alla de lo que pensaban.
Me ha llegado tres veces desde hace una semana, y las tres veces lo detecto el Norton Antivirus 2001, la segunda y tercera vez baje el attach solo para ver si sí lo detectaba el NAV, pero hay que tener la actualizacion mas reciente, por lo que es urgente que ejecuten el LiveUpdate ya!
De cualquier manera el archivo no se va a poder reparar, por lo que se enviará a cuarentena, si esto no es posible, intentara eliminarlo, si falla, deja el archivo intacto pero sin ejecutar, ES IMPORATANE acceder a la carpeta donde se guardó el archivo y borrarlo inmediatamente, tambien de la Papelera de Reciclaje y si esta, borra los Norton Protected Recycled Bin. Espero sea de utilidad. Complementen su escaneo del sistema con los consejos que estan en otros comentarios, acerca del registro y de la carpeta _RESTORE y la carpeta RECYCLED.
RAFAEL
26 de Julio del 2001
VEAN LOS COMENTARIOS DEL OTRO APARTADO DE VIRUS EN ESTA MISMA HOJA
israel
27 de Julio del 2001
alguien sabe como puedo hacer para saber el origen del virus?, quisiera que me escribieran las personas quienes fueron infectadas ante que las demas.
FELIX
08 de Agosto del 2001
Hola que tal, soy gte de informatica en un hotel y cuento con una red LAN de aprox 20 usr. en cada pc cree una carpeta que se llama LAN y es la unica que se comparte con todos para mandarnos archivos de PC a pc.

En una PC, que es la que se conecta a Internet para el acceso de todas se infecto, por el virus W32.Sirc.exe, Baje de SIMANTEC un archivo que se llama fixSirc.com y lo corri desde modo a prueba de fallos y lo elimino, lo quiero saber es si alguien ha echo algo igual para estar seguro de que efectivamente ya estoy libre, por que e buscado eb el regedit.exe y no hay cadenas con este virus, ni en el Autoexec.bat, y he buscado con el todo el disco Sirc*.* y nada,

saludos de antemano y espero algun comentario

Comenta esta noticia

Nombre
Correo (no se visualiza en la web)
Comentarios