[ virus.neobee.net ]

VIRUS INFO
Naziv virusa:	Win32/Sircam
Alias:	W32.Sircam.Worm@mm, W32/SirCam.A, SCAM.A, TROJ_SCAM.A
Tip:	worm
Način širenja:	e-mailom
Veličina:	137,216 bajtova
Destruktivan:	da
Datum aktiviranja:	startovanjem pristiglog attachmenta
Otkriven:	18.07.2001.

OBJAŠNJENJE
Stiže kao e-mail sa sledećim karakteristikama:

Subject: naziv fajla koji stiže kao attachment.

Telo poruke, u zavisnosti na kom jeziku je napisana, počinje sledećim tekstom:
Hi! How are you?
Hola como estas ?

a zadnji red je sledeće sadržine:
See you later. Thanks
Nos vemos pronto, gracias.

ostali deo tela poruke ima tekst sličan ovome:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send to you
This is the file with the information that you ask for

Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la información que me pediste

Attachment: fajl sa dvostrukom ekstenzijom i ima isti naziv kao subject linija.

Kada se pristigli fajl startuje, crv će kreirati fajl C:\ WINDOWS \ SYSTEM \ SCAM32.EXE i C:\ RECYCLED \ SIRC32.EXE (ovaj fajl je nevidljiv).

Takođe će biti kreiran i ključ u Registry bazi:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \
CurrentVersion \ RunServicesDriver32 =“ C:\ WINDOWS \ SYSTEM \ SCAM32.EXE”

Sledećim modifikacijom u Registry bazi, crv će se startovati svaki sledeći put kada se bude startovao i neki *.EXE fajl:
HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command= “”C: \ Recycled \ SirC32.exe” ”%1” %*

Biće kreiran i sledeći ključ:
HKEY_LOCAL_MACHINE \ Software \ SirCam.

Ovaj crv je napisan u programskom jeziku Delphi.
Kada pretraži korisnikov direktorijum My Documents, u potrazi za fajlovima sa sledećom ekstenzijom *.DOC, *.ZIP, *.XLS i *.EXE. U sve pronađene fajlove crv ubacuje svoj kod i dodaje im još jednu ekstenziju *.COM, *.BAT, *.PIF i *.LNK (primer: TEXT.DOC će postati TEXT.DOC.BAT). Ovakav fajl će biti poslat nekom korisniku sa ciljem da se i on zarazi.

Crv će iskoristiti korisnikov Address Book i privremeno Internet keširane fajlove (temporary Internet cached files) u potrazi za e-mail adresama.
Crv kreira fajl SCD.DLL u koji smešta listu svih fajlova koje je preimenovao, tj. dodao im još jednu ekstenziju. A fajl SCH1.DLL, SCI1.DLL, SCT1.DLL ili SCY1.DLL sadrži listu svih e-mail adresa koje je crv pronašao na Vašem računaru a sve u nadi da se pošalje na njih.

U zavisnosti od datuma kada se korisnik zarazi, crv će pokrenuti rutinu brisanja fajlova po Windsovim direktorijumima.

U nekim slučajevima crv će kreirati fajl SIRCAM.SYS koji će sadržati sledeću poruku:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright L 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]

REŠENJE
Preuzmite cleaner () i uvek držite osveženi antivirusni program.

Na ovim stranicama ćete uvek biti obavešteni o novim virusima koji se pojavljuju kao i načinom uklanjanja istih sa vašeg računara. Pored virusa, na ovom sajtu možete naći najefektnije načine zaštite od virusa kao i zaštita od upada u vaš računar.

Virus Informacioni Centar je otvoren za sva vaša pitanja, preloge, kao i sugestije u vezi ovog sajta.

Virus Informacioni Centar
Neobee.net ISP
Email : virus@neobee.net
ICQ : 48089085

VIrus Informacioni centar
Broj poseta31231 poseta od 23.03.2001.