Presentazione del virus Sircam

Il virus Sircam (nome di codice W32.Sircam.Worm@mm, Backdoor.SirCam o Troj_Sircam.a) è uno worm che si diffonde attraverso la posta elettronica. Infetta soprattutto gli utenti di Microsft Outlook nei sistemi operativi Windows 95, 98, Millenium e 2000.

Le azioni del virus

Lo worm Sircam sceglie casualmente un documento (di estensione .gif, .jpg, .mpg, .jpeg, .mpeg, .mov, .pdf, .png, .ps o .zip) che si trova nella cartella c:\Documenti\ del compute infetto, poi invia automaticamente una mail che ha per oggetto il nome di questo documento, e con testo uno di questi due messaggi :

• In inglese

  "Hi! How are you?
  I send you this file in order to have your advice
  See you later. Thanks"

  "Hi! How are you?
  I hope you can help me with this file that I send
  See you later. Thanks"

  "Hi! How are you?
  I hope you like the file that I send to you
  See you later. Thanks"

• O in spagnolo

  "Hola como estas ?
  Te mando este archivo para que me des tu punto de vista
  Nos vemos pronto, gracias."

Lo worm Sircam rischia inoltre di eliminare completamente i file del vostro disco rigido il 16/10/2009 di ogni anno se il vostro computer usa un formato di data europeo (gg/mm/aa).

Sircam aggiunge anche del testo al file c:\recycled\sircam.sysad ogni riavvio del terminale, il che rischia potenzialmente di saturare lo spazio disponibile sul lettore C:\.

Sintomi dell'infezione

I terminali infetti hanno i seguenti file nel loro disco :

• Sirc32.exe
• Sircam.sys
• Run32.exe

Per verificare si siete stati infettati, fate una ricerca dei file sopra citati nei vostri dischi rigidi (Start / Cerca / File o Cartelle).

Sradicare il virus

Per sradicare lo worm Sircam, il metodo migliore consiste nell'utilizzare un antivirus recente oppure il seguente kit proposto da Symantec :
Scaricare il kit di disinfezione

E' anche possibile procedere ad una disinfezione manuale seguendo la procedura :

• Eliminare i file Sirc32.exe e Sircam.sys
• Eliminare il file c:\windows\Runddl32.exe
• Rinominare il file c:\windows\Run32.exe in c:\windows\Rundll32.exe
• Lanciare il file c:\autoexec.bat e eliminare la sequenza seguente : @win \recycled\sirc32.exe
• Nella base del registro (da lanciare eseguendo c:\windows\regedit.exe)
  • In HKEY_CLASSES_ROOT/exefile/shell/open/command, modificare la stringa di dati (con doppio clic su Default) e inserire la seguente stringa :

    "%1" %*

  • In HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices, eliminare la chiave Driver32=C:\WINDOWS\SYSTEM\SCam32.exe
  • In HKEY_LOCAL_MACHINE/Software, eliminare la cartella Sircam
• Riavviare il computer

Ulteriori informazioni sul virus

• http://solutions.journaldunet.com/0107/010724_virus.shtml
• http://vil.nai.com/vil/dispVirus.asp?virus_k=99141
• http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_SIRCAM.A
• http://www.sophos.com/virusinfo/analyses/w32sircama.html