Il virus Sircam (nome di codice
W32.Sircam.Worm@mm,
Backdoor.SirCam o
Troj_Sircam.a) è un
worm che si diffonde attraverso la posta elettronica.Questo virus infetta soprattutto gli utenti di Microsoft Outlook nei sistemi operativi Windows 95, 98, Millenium e 2000.
Le azioni del virus
Il worm Sircam sceglie casualmente un documento (di estensione
.gif,
.jpg,
.mpg,
.jpeg,
.mpeg,
.mov,
.pdf,
.png,
.ps o
.zip) che si trova nella cartella
c:\Documenti\ del computer infetto, poi invia automaticamente una mail che ha per oggetto il nome di questo documento, e con testo uno di questi due messaggi in inglese:
"Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks"
"Hi! How are you?
I hope you can help me with this file that I send
See you later. Thanks"
"Hi! How are you?
I hope you like the file that I send to you
See you later. Thanks"
Oppure in spagnolo:
"Hola como estas ?
Te mando este archivo para que me des tu punto de vista
Nos vemos pronto, gracias."
Il virus Sircam aggiunge al messaggio una copia dello stesso, il cui nome è quello del file recuperato sul disco rigido del PC su cui è stato utilizzato, con la doppia estensione
.vbs. Il worm Sircam rischia inoltre di eliminare completamente i file del vostro disco rigido il
16/10/2009 di ogni anno se il vostro computer usa un formato di data europeo (gg/mm/aa).
Sircam aggiunge anche del testo al file
c:\recycled\sircam.sys ad ogni riavvio del terminale, il che rischia potenzialmente di saturare lo spazio disponibile sul lettore
C:\.
Sintomi dell'infezione
I terminali infetti hanno i seguenti file nel loro disco:
Sirc32.exe;
Sircam.sys;
Run32.exe.
Per verificare si siete stati infettati, fate una ricerca dei file sopra citati nei vostri dischi rigidi (
Start/
Cerca/
File o Cartelle).
Sradicare il virus
Per sradicare il worm Sircam, il metodo migliore consiste nell'utilizzare un antivirus recente oppure il seguente kit proposto da Symantec:
scaricare il kit di disinfezione. È anche possibile procedere ad una disinfezione manuale seguendo la procedura:
Eliminare i file
Sirc32.exe e
Sircam.sys;
Eliminare il file
c:\windows\Runddl32.exe;
Rinominare il file
c:\windows\Run32.exe in
c:\windows\Rundll32.exe;
Lanciare il file
c:\autoexec.bat e eliminare la sequenza seguente : @win \recycled\sirc32.exe;
Nella base del registro (da lanciare eseguendo
c:\windows\regedit.exe):
In
HKEY_CLASSES_ROOT/exefile/shell/open/command, modificare la stringa di dati (con doppio clic su
Default) e inserire la seguente stringa:
"%1" %*
;
In
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices, eliminare la chiave
Driver32=C:\WINDOWS\SYSTEM\SCam32.exe;
In
HKEY_LOCAL_MACHINE/Software, eliminare la cartella
Sircam;
Infine riavviare il computer.
Ulteriori informazioni sul virus
Journal du net;
Antivirus info.
Foto: © Martial Red – Shutterstock.com