Otro gusano mas Hinchando las

Escrito el 20 julio, 2001 – 18:04 | por storm | 814 lecturas

SirCam es un nuevo gusano que está consiguiendo
una propagación significativa en las últimas horas. Cómo identificación a
primera vista, SirCam viaja adjunto en un e-mail con las cadenas “Hola como
estas ?” y “Nos vemos pronto, gracias” como primera y última línea
del cuerpo del mensaje.

Las primeras muestras de SirCam fueron
descubiertas ayer 17 de julio, si bien en las últimas horas es cuando se está
detectando una distribución masiva que lo sitúan de momento en una alerta de
nivel medio. Se espera que la propagación remita tras las pertinentes
actualizaciones de los antivirus y la información proporcionada sobre su modo
de presentación y actuación.

Este gusano está consiguiendo una especial
relevancia en países de habla hispana, sin duda gracias a la utilización de
frases en español, además del inglés, para formar los mensajes en los cuales
se adjunta.

El e-mail donde se autoenvía lo compone de la
siguiente forma:

Asunto: [nombre del archivo adjunto sin
extensión]

Cuerpo:

Primera línea: “Hola como estas ?”

Línea central: [alguna de las siguientes
frases al azar]
“Te mando este archivo para que me des tu punto de vista”
“Espero me puedas ayudar con el archivo que te mando”
“Espero te guste este archivo que te mando”
“Este es el archivo con la informacion que me pediste”

Última línea: “Nos vemos pronto,
gracias.”

Adjunto: [archivo con doble extensión]

La primera extensión del archivo que se
adjunta puede ser .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, o .ZIP,
mientras que la última y realmente importante puede ser .BAT, .COM, .EXE, .LNK
o .PIF. En la configuración por defecto de Windows la segunda extensión no se
visualizaría, lo que sin duda puede lograr engañar a los usuarios haciéndoles
creer que se trata de un documento inofensivo.

Las cadenas de texto de la versión en ingles
son las siguientes:

Primera línea: “Hi! How are you?”

Central:
“I send you this file in order to have your advice”
“I hope you can help me with this file that I send”
“I hope you like the file that I send you”
“This is the file with the information that you ask for”

Última línea: “See you later. Thanks”

Cuando el gusano se ejecuta en un sistema se
sitúa en la Papelera de reciclaje de Windows copiándose cómo C:RECYCLEDSirC32.exe.
Esta carpeta suele permanecer oculta en Windows, además algunos antivirus la
tienen excluida de sus análisis según la configuración por defecto.

El gusano también añade una entrada al
registro de Windows para asegurarse que SirCam se carga en memoria cada vez que
un archivo .EXE es ejecutado:

HKCRexefileshellopencommand
Default=”C:
ecycledSirC32.exe” “\%1” \%*

Otra copia renombrada como SCam32.exe la sitúa
en la carpeta WindowsSystem, así como una nueva entrada en el registro para
asegurar su activación cada vez que se inicia el sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Driver32=C:WINDOWSSYSTEMSCam32.exe

A continuación SirCam crea una lista con los
nombres de los archivos que encuentra en la carpeta Mis Documentos y cuyas
extensiones sean .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, o .ZIP.
El listado lo almacena en el archivo SCD.DLL en WindowsSystem. De forma similar
recoge en la misma carpeta, bajo el nombre de archivo SCD1.DLL, una lista con
todas las direcciones de correo electrónico que encuentra en la libreta de
direcciones de Windows y en la carpeta de archivos temporales de Internet. El
segundo y tercer carácter del nombre de los archivos .DLL donde almacena las
listas puede variar al azar.

El gusano contiene su propia rutina SMTP para
autoenviarse a las direcciones que tiene almacenadas en la lista SCD1.DLL. Para
componer el archivo infectado a enviar el gusano se copia al principio de alguno
de los archivos listados en SCD.DLL añadiendo al final la segunda extensión.
De esta forma consigue distintas apariencias según va infectando sistemas.

Do U OzZy

SI encuentran a alguien con este visrus… diganle como sacarlo porq la verdad los mails q llegan con este virus son de Kb variables , o sea que en una noche se me llena la casiilla , es una porqueria …

Direccion de “LA CURA” :
http://www.sarc.com/avcenter/venc/data/w32.sircam.worm@mm.html

You must be logged in to post a comment.

Buscar: