Il virus Sircam
Il virus Sircam (nome di codice W32.Sircam.Worm@mm, Backdoor.SirCam o Troj_Sircam.a) è un worm che si diffonde attraverso la posta elettronica.Questo virus infetta soprattutto gli utenti di Microsoft Outlook nei sistemi operativi Windows 95, 98, Millenium e 2000.
Oppure in spagnolo:
Il virus Sircam aggiunge al messaggio una copia dello stesso, il cui nome è quello del file recuperato sul disco rigido del PC su cui è stato utilizzato, con la doppia estensione .vbs. Il worm Sircam rischia inoltre di eliminare completamente i file del vostro disco rigido il 16/10/2009 di ogni anno se il vostro computer usa un formato di data europeo (gg/mm/aa).
Sircam aggiunge anche del testo al file c:\recycled\sircam.sys ad ogni riavvio del terminale, il che rischia potenzialmente di saturare lo spazio disponibile sul lettore C:\.
Sirc32.exe;
Sircam.sys;
Run32.exe.
Per verificare si siete stati infettati, fate una ricerca dei file sopra citati nei vostri dischi rigidi (Start/Cerca/File o Cartelle).
Eliminare i file Sirc32.exe e Sircam.sys;
Eliminare il file c:\windows\Runddl32.exe;
Rinominare il file c:\windows\Run32.exe in c:\windows\Rundll32.exe;
Lanciare il file c:\autoexec.bat e eliminare la sequenza seguente : @win \recycled\sirc32.exe;
Nella base del registro (da lanciare eseguendo c:\windows\regedit.exe):
In HKEY_CLASSES_ROOT/exefile/shell/open/command, modificare la stringa di dati (con doppio clic su Default) e inserire la seguente stringa:
In HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices, eliminare la chiave Driver32=C:\WINDOWS\SYSTEM\SCam32.exe;
In HKEY_LOCAL_MACHINE/Software, eliminare la cartella Sircam;
Infine riavviare il computer.
Antivirus info.
Foto: © Martial Red – Shutterstock.com
Le azioni del virus
Il worm Sircam sceglie casualmente un documento (di estensione .gif, .jpg, .mpg, .jpeg, .mpeg, .mov, .pdf, .png, .ps o .zip) che si trova nella cartella c:\Documenti\ del computer infetto, poi invia automaticamente una mail che ha per oggetto il nome di questo documento, e con testo uno di questi due messaggi in inglese:"Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks"
"Hi! How are you?
I hope you can help me with this file that I send
See you later. Thanks"
"Hi! How are you?
I hope you like the file that I send to you
See you later. Thanks"
Oppure in spagnolo:
"Hola como estas ?
Te mando este archivo para que me des tu punto de vista
Nos vemos pronto, gracias."
Il virus Sircam aggiunge al messaggio una copia dello stesso, il cui nome è quello del file recuperato sul disco rigido del PC su cui è stato utilizzato, con la doppia estensione .vbs. Il worm Sircam rischia inoltre di eliminare completamente i file del vostro disco rigido il 16/10/2009 di ogni anno se il vostro computer usa un formato di data europeo (gg/mm/aa).
Sircam aggiunge anche del testo al file c:\recycled\sircam.sys ad ogni riavvio del terminale, il che rischia potenzialmente di saturare lo spazio disponibile sul lettore C:\.
Sintomi dell'infezione
I terminali infetti hanno i seguenti file nel loro disco:Sirc32.exe;
Sircam.sys;
Run32.exe.
Per verificare si siete stati infettati, fate una ricerca dei file sopra citati nei vostri dischi rigidi (Start/Cerca/File o Cartelle).
Sradicare il virus
Per sradicare il worm Sircam, il metodo migliore consiste nell'utilizzare un antivirus recente oppure il seguente kit proposto da Symantec: scaricare il kit di disinfezione. È anche possibile procedere ad una disinfezione manuale seguendo la procedura:Eliminare i file Sirc32.exe e Sircam.sys;
Eliminare il file c:\windows\Runddl32.exe;
Rinominare il file c:\windows\Run32.exe in c:\windows\Rundll32.exe;
Lanciare il file c:\autoexec.bat e eliminare la sequenza seguente : @win \recycled\sirc32.exe;
Nella base del registro (da lanciare eseguendo c:\windows\regedit.exe):
In HKEY_CLASSES_ROOT/exefile/shell/open/command, modificare la stringa di dati (con doppio clic su Default) e inserire la seguente stringa:
"%1" %*;
In HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices, eliminare la chiave Driver32=C:\WINDOWS\SYSTEM\SCam32.exe;
In HKEY_LOCAL_MACHINE/Software, eliminare la cartella Sircam;
Infine riavviare il computer.
Ulteriori informazioni sul virus
Journal du net;Antivirus info.
Foto: © Martial Red – Shutterstock.com
