Museu

Reportagens

Jornal Território Livre

marica.com.br

ALERTA SOBRE DISSEMINAÇÃO DO VÍRUS W32_SIRCAM

Se nos últimos dias você abriu arquivo anexado tipo TEXTO ou PLANILHA de uma mensagem:
Hi! How are you?
I send you this file in order to have your advice.
See you later. Thanks

Ou:
Hola como estas ?
Te mando este archivo para que me des tu punto de vista.
Nos vemos pronto, gracias.

Provavelmente você possa estar contaminado por um vírus de rápida disseminação por e-mail, o W32.SirCam.

Descoberto em 17 de julho de 2001, já atingiu milhares de computadores, inclusive aqui no Brasil. Além de congestionar o sistema de e-mail, ele expõe documentos das vítimas que estejam armazenados no diretório Meus Documentos, enviando por e-mail um desses arquivos a toda a lista de contatos do Outlook.

O arquivo anexo à mensagem é um executável do vírus com o documento roubado, e usa duas extensões: a do documento (DOC, XLS ou MPG) seguida de BAT, COM, EXE, LNK ou PIF. Se o destinatário clicar no link para o anexo, o vírus vai reconstituir as duas partes originais: o documento (texto ou planilha) e um programa executável (vírus).

Com esse artimanha, o vírus revela documentos das vítimas, que podem conter informações reservadas, e ao mesmo tempo, desarmando a vigilância dos destinatários, pois envia um documento verdadeiro do suposto remetente normalmente conhecido da vítima seguinte. Além disso, em muitos casos, o texto da mensagem, que é variável, pede ajuda a respeito do documento anexo.

O vírus chega num e-mail cujo assunto pode variar, mas traz uma breve mensagem, em inglês ou em espanhol, que diz ao destinatário algo como o seguinte: Olá, como vai? Envio-lhe este arquivo para obter seu conselho . Ou, então, Espero que você possa me ajudar com este arquivo . Ou, ainda, Este é o arquivo com a informação que você pediu .

Se executado, isto é, clicado no arquivo anexado (clips do Outlook), ele faz uma cópia de si mesmo no diretório de sistema com o nome Scam32.exe e armazena o arquivo original na lixeira. Segundo a Trend Micro, empresa fabricante de antivírus, em certas situações, ele também cria o arquivo Scd.dll no diretório de sistema.

Na análise do Sophos, outro fabricante, o Sircam também ocupa o lugar do arquivo Rundll32.exe, do Windows, renomeando este para Run32.exe. O vírus contém recursos de SMTP próprios, que são usados para enviar e-mails a todos os endereços existentes na lista de contatos do Windows.

A Symantec descreve ainda um comportamento destrutivo do invasor não indicado por seus concorrentes. Segundo a empresa, há uma probabilidade de 5% de o vírus apagar todo o conteúdo do drive C na data 16 de outubro de qualquer ano. Isso só acontece em máquinas cujas datas no Windows estejam configuradas para o padrão d/m/a. Em sua descrição do Sircam, a Symantec diz que a praga ainda está sendo analisada, indicando que novas características podem ser descobertas.

Portanto, verifique através das instruções a seguir se você está contaminado:

ACESSO O PROMPT DO MSDOS
Digite: DIR \SCAM32.EXE /S/B
SE O COMANDO ANTERIOR LISTAR O ARQUIVO SCAM32.EXE, CONTATE-NOS POIS PROVAVELMENTE HÁ CONTAMINAÇÃO
Digite: DIR \SCD.DLL /S/B
SE O COMANDO ANTERIOR LISTAR O ARQUIVO SCD.DLL, CONTATE-NOS POIS PROVAVELMENTE HÁ CONTAMINAÇÃO
Digite: DIR \RUN32.EXE /S/B
SE O COMANDO ANTERIOR LISTAR O ARQUIVO RUN32.EXE, CONTATE-NOS POIS PROVAVELMENTE HÁ CONTAMINAÇÃO
Digite: DIR \SIRCAM.SYS /S/B
SE O COMANDO ANTERIOR LISTAR O ARQUIVO RUN32.EXE, CONTATE-NOS POIS PROVAVELMENTE HÁ CONTAMINAÇÃO

Outra forma de verificar a existência do vírus é:

INICIAR
EXECUTAR
Digite: REGEDIT
OK
LOCALIZAR
Digite: SIRCAM
LOCALIZAR PRÓXIMA
SE O COMANDO LOCALIZAR ALGUMA POSIÇÃO, CONTATE-NOS POIS PROVAVELMENTE HÁ CONTAMINAÇÃO
Ainda você poderá verificar a situação da pasta: HKEY_CLASSES_ROOT\exefile\shell\open\command, APENAS DEVE EXISTIR O VALOR PADRÃO "%1" %*, NESTE CASO NÃO HÁ VÍRUS

O vírus W32.Sircam está também sendo chamado por: W32/Sircam-A, W32.Sircam.Worm@mm, W32/SirCam@mm ou Backdoor.SirCam. Caso você tenha dúvidas a respeito, sinta-se a vontade por nos consultar. Para solucionar, siga os passos contidos em nossa página: www.mpsoft.com.br/removersircam.htm E por fim, lembre-se:

Tenha um antivírus instalado em seu computador.
Atualize, no mínimo, uma vez por semana seu a lista de novos vírus de seu antivírus.
Se você trabalha com um conexão de Internet tipo cable modem, tenha um firewall instalado.
Jamais abra arquivos anexados de mensagens de desconhecidos.
Antes de abrir arquivos anexados de pessoas conhecidas, certifique que elas foram realmente enviadas por estes.

Cordialmente, Eng. Marcelo Neubauer da Costawww.mpsoft.com.br

Referências das informações acima:

http://www2.uol.com.br/info/aberto/infonews/072001/19072001-18.shl

http://www2.uol.com.br/info/aberto/infonews/072001/18072001-25.shl

http://www.sophos.com/downloads/ide/

http://www.sophos.com/virusinfo/analyses/w32sircama.html

http://www.securityfocus.com/templates/headline.html?id=12039

http://www.securityfocus.com/templates/headline.html?id=12033

http://www.nwfusion.com/news/2001/0719sircam.html

http://service.pandasoftware.es/library/card.jsp?Virus=W32/Sircam

http://vil.nai.com/vil/virusSummary.asp?virus_k=99141

http://www.sarc.com/avcenter/venc/data/w32.sircam.worm@mm.html

http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_SIRCAM.A