Il virus Sircam

Novembre 2016
Il virus Sircam (nome di codice W32.Sircam.Worm@mm, Backdoor.SirCam o Troj_Sircam.a) è un worm che si diffonde attraverso la posta elettronica.Questo virus infetta soprattutto gli utenti di Microsoft Outlook nei sistemi operativi Windows 95, 98, Millenium e 2000.


Le azioni del virus

Il worm Sircam sceglie casualmente un documento (di estensione .gif, .jpg, .mpg, .jpeg, .mpeg, .mov, .pdf, .png, .ps o .zip) che si trova nella cartella c:\Documenti\ del computer infetto, poi invia automaticamente una mail che ha per oggetto il nome di questo documento, e con testo uno di questi due messaggi in inglese:

"Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks"


"Hi! How are you?
I hope you can help me with this file that I send
See you later. Thanks"


"Hi! How are you?
I hope you like the file that I send to you
See you later. Thanks"


Oppure in spagnolo:

"Hola como estas ?
Te mando este archivo para que me des tu punto de vista
Nos vemos pronto, gracias."


Il virus Sircam aggiunge al messaggio una copia dello stesso, il cui nome è quello del file recuperato sul disco rigido del PC su cui è stato utilizzato, con la doppia estensione .vbs. Il worm Sircam rischia inoltre di eliminare completamente i file del vostro disco rigido il 16/10/2009 di ogni anno se il vostro computer usa un formato di data europeo (gg/mm/aa).

Sircam aggiunge anche del testo al file c:\recycled\sircam.sys ad ogni riavvio del terminale, il che rischia potenzialmente di saturare lo spazio disponibile sul lettore C:\.

Sintomi dell'infezione

I terminali infetti hanno i seguenti file nel loro disco:


Sirc32.exe;

Sircam.sys;

Run32.exe.

Per verificare si siete stati infettati, fate una ricerca dei file sopra citati nei vostri dischi rigidi (Start/Cerca/File o Cartelle).

Sradicare il virus

Per sradicare il worm Sircam, il metodo migliore consiste nell'utilizzare un antivirus recente oppure il seguente kit proposto da Symantec: scaricare il kit di disinfezione. È anche possibile procedere ad una disinfezione manuale seguendo la procedura:

Eliminare i file Sirc32.exe e Sircam.sys;

Eliminare il file c:\windows\Runddl32.exe;

Rinominare il file c:\windows\Run32.exe in c:\windows\Rundll32.exe;

Lanciare il file c:\autoexec.bat e eliminare la sequenza seguente : @win \recycled\sirc32.exe;

Nella base del registro (da lanciare eseguendo c:\windows\regedit.exe):

In HKEY_CLASSES_ROOT/exefile/shell/open/command, modificare la stringa di dati (con doppio clic su Default) e inserire la seguente stringa:
"%1" %*
;

In HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices, eliminare la chiave Driver32=C:\WINDOWS\SYSTEM\SCam32.exe;

In HKEY_LOCAL_MACHINE/Software, eliminare la cartella Sircam;

Infine riavviare il computer.

Ulteriori informazioni sul virus

Journal du net;

Vil.nai.com;

Antivirus.com;

Sophos.com.

Potrebbe anche interessarti :

The Sircam virus
The Sircam virus
El virus Sircam
El virus Sircam
Le ver Sircam
Le ver Sircam
O vírus Sircam
O vírus Sircam
Il documento intitolato « Il virus Sircam » da CCM (it.ccm.net) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.