Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Sircam

PeligrosidadPeligrosidad alta
DañoMuy dañino
PropagaciónPoco extendido

Efectos

Sircam se activa siempre que se ejecuta un fichero con extensión EXE, hasta que haya realizado esta operación en 8000 ocasiones. Una vez activado, sus efectos son:

  • Obtiene datos privados de los usuarios infectados, como la dirección de correo electrónico y la del servidor SMTP de origen del mensaje.
  • Borra directorios del disco duro.
    Esto sólo ocurre cuando la copia del gusano que se está ejecutando contiene en su interior la cadena de texto
     F2y va seguida de otra de texto que no sea SC.
  • Consume y agota todo el espacio libre que esté disponible en el disco duro.
    Para conseguirlo crea un fichero con nombre
    SIRCAM.SYS y escribe texto dentro de él, hasta ocupar el espacio libre del disco duro. Sin embargo, esto sucede en 1 de cada 50 ocasiones en las que Sircam actúa.

    En algunos casos,
    Sircam no permite que se ejecuten programas con extensión EXE.

Metodo de Infección

Para llevar a cabo su infección,Sircamcrea los siguientes ficheros:

  • SIRCAM.SYS en la Papelera de reciclaje.Sircam escribe texto dentro de este fichero hasta que agota el espacio del disco duro.
  • SIRC32.EXEes una copia del propio Sircam que se sitúa en la Papelera de reciclaje.
  • SCAM32.EXE es una copia del propio Sircam que se coloca en el directorio System de Windows.
  • SCD.DLL está oculto y guarda una lista de los ficheros que existen en el directorio C:\My documents.
  • SCx1.DLL almacena la lista de direcciones a las que se reenviará el virus. El carácter x representa a alguna de las siguientes letras: Y,H, I and T. Por lo tanto, el nombre del archivo será: SCY1.DLL, SCH1.DLL, SCI1.DLL o  SCT1.DLL.
  • Sircam también crea un archivo con el mismo nombre que el archivo adjunto al mensaje de correo. Este archivo se ubica en la Papelera de Reciclaje y sólo tiene una extensión.

Con el objetivo de asegurarse de que está activo y lleva a cabo su infección, Sircam modifica las siguientes entradas en el Registro de Windows:

  • HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command\ Default,
    "C:\ recycled\ SirC32.exe" "%1" %*
    Esto permite a Sircam activarse siempre que un archivo con extensión EXE se ejecute.
  • HKEY_LOCAL_MACHINE\ Software\ Mocrosoft\ Windows\ CurrentVersion\ RunServices\
    Drivers32= c:\ windows\ system\ Scam32.exe
    Mediante esta modificación, Sircam se puede ejecutar más tarde.
  • HKEY_LOCAL_MACHINE\Software\Sircam
    Sircam utiliza esta entrada para guardar datos.

Para más información sobre los valores que añade a esta entrada y su funcionalidad, pinche aquí.

Método de Propagación

Sircam se propaga a través del correo electrónico y de redes de ordenadores con estaciones Windows NT, actuando del siguiente modo:

Infección a través de correo electrónico:

  • Llega oculto en un mensaje con las siguientes características:

    Asunto: el título del asunto es variable.

    Contenido:

    Hola como estas ?
    Te mando este archivo para que me des tu punto de vista
    Espero me puedas ayudar con el archivo que te mando
    Espero te guste este archivo que te mando
    Este es el archivo con la informacion que me pediste
    Nos vemos pronto, gracias.
    Incluye un fichero adjunto.
  • Si se ejecuta el fichero incluido en el mensaje, Sircam infecta un archivo del equipo atacado, copiándose al comienzo del mismo.
  • Añade una segunda extensión al fichero infectado (como por ejemplo VBS o JPG).
  • Se extiende enviando automáticamente el fichero que acaba de infectar a todos los contactos de la Libreta de direcciones.
  • Adicionalmente, busca otras direcciones de correo en los ficheros que cumplen alguno de estos requisitos:

    Su nombre comienza por “SHO” (sho*.). Las direcciones que encuentra son almacenadas en el fichero SCY1.DLL.

    Su nombre comienza por “GET” (get*.). Las direcciones que encuentra son almacenadas en el fichero SCH1.DLL.

    Su nombre comienza por “HOT” (hot*.). Las direcciones que encuentra son almacenadas en el fichero SCH1.DLL.

    Páginas Web con extensión HTM. Las direcciones que encuentra son almacenadas en los ficheros SCI1.DLL y SCT.DLL.

    Documentos de Word con extensión DOC.   Las direcciones que encuentra son almacenadas en el fichero SCD.DLL.

    Hojas de cálculo de Excel con extensión XLS. Las direcciones que encuentra son almacenadas en el fichero SCD.DLL.

    Ficheros comprimidos en formato WinZip con extensión ZIP. Las direcciones que encuentra son almacenadas en el fichero SCD.DLL.

    Libretas de direcciones con extensión WAB. Las direcciones que encuentra son almacenadas en el fichero SCW.DLL.

Infección a través de redes con estaciones Windows NT:

  • Sircam localiza las unidades de disco que el equipo infectado tiene mapeadas en la red.
  • Busca los puertos de comunicaciones disponibles en las unidades mapeadas que ha encontrado. El objetivo es propagarse por la red, enviándose a sí mismo a través de cada uno de estos puertos.
  • Rastrea los directorios \Recycled y \Windows, así como los ficheros \Windows\Run32.exey \Windows\Rundll32.exe en las unidades mapeadas que ha localizado.

    Si no encuentra dichos ficheros, no realiza la infección en esas unidades mapeadas.

    Si encuentra el directorio \Recycled, copia el fichero SIRC32.EXEdentro de él e introduce la línea @win \recycled\SirC32.exe en el fichero AUTOEXEC.BAT. Con esto, logra infectar ese equipo la siguiente vez que éste arranque.

    Si localiza el directorio \Windows\system, copia el fichero SCAM32.EXEdentro de él y lo ejecuta.
  • Infecta el fichero RUNDLL32.EXE del sistema.
  • Localiza documentos de Word con extensión DOC en el directorio \MIS DOCUMENTOS. Si los encuentra, los guarda en el fichero SCD.DLL con el fin de utilizarlos para reenviarse.

Otros Detalles

  • El código correspondiente al programa fuente de Sircam contiene el siguiente texto de copyright, que indica la supuesta procedencia del gusano:

    SirCam_2rP_Eim_NoC_Rma_CniTzeO_MicH_MeX]

    [SirCam Version 1.0 Copyright. 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]
  • Cada uno de los ficheros que crea en el equipo infectado (copias de sí mismo), contiene unos datos que Sircam utiliza para lograr sus propósitos. Estos datos aportan información a Sircam y se almacenan en los ficheros de la siguiente manera:

    A la cadena FA2 le une la cadena SC, es decir: FA2sc.

    A la cadena FA5 le añade la dirección de correo electrónico correspondiente al usuario que nos ha enviado el mensaje de infección. Por ejemplo: FA5travel@maui.net.

    A la cadena FA8 le suma un número que representa la dirección de comienzo del fichero (offset) que Sircam ha incluido detrás del gusano. Por ejemplo: FA5travel@maui.net.

    A la cadena FA8 le suma un número que representa la dirección de comienzo del fichero (offset) que Sircam ha incluido detrás del gusano. Por ejemplo FA8123456 indica que la dirección de comienzo del fichero es 123456 bytes.

    En el caso del fichero
    SIRC32.EXE (copia del gusano), detrás de la cadena FA8 sólo hay ocho espacios en blanco.

    A la cadena FA9 le añade el nombre del servidor SMTP correspondiente al usuario que nos ha enviado el mensaje de infección. Por ejemplo: FA9smtp.maui.net.