Postagens
Características
Este vírus de email tenta se auto-enviar e enviar documentos locais para todos os usuários encontrados no Windows Addres Book ( Livro de Endereços do Windows ), além dos endereços encontrados no cache do Navegador Internet.
Ele pode ser recebido em uma mensagem de correio eletrônico, contendo as seguintes informações
--Assunto: nomedoarquivo (qualquer um)
--Corpo da mensagem:
Hi! How are you?
I send you this file in order to have your advice
ou I hope you can help me with this file that I send
ou I hope you like the file that I send to you
ou This is the file with the information that you ask for
See you later. Thanks
Ou na versão em espanhol:
--Assunto: nomedoarquivo (qualquer um)
--Corpo da mensagem:
Hola como estas ?
Te mando esse archivo para que me des tu punto de vista
ou Espero me puedas ayudar con el archivo que te mando
ou Espero te guste este archivo que te mando
ou Este es el archivo con la información que me pediste
Nos vemos pronto, gracias
--fim da mensagem --
Atachado a mensagem, estará um arquivo com dupla extensão ( .DOC.PIF ou .DOC.LNK ) variando o nome do arquivo.
A primeira extensão é aquela do tipo em que o vírus foi propagado. Quando acionado, o documento é salvo na pasta C:\RECYCLED e aberto, enquanto o vírus se copia automaticamente para a pasta C:\RECYCLED\SirC32.exe para alertar sua presença e criar as seguintes valores nas chaves no registro do Windows para se auto-executar quando qualquer arquivo executável ( .EXE ) for executado.
HKCR\exefile\shell\open\command\
Default="C:\RECYCLED\SirC32.exe" "%1"%*
Esse vírus tem por característica principal a presença de um arquivo chamado SCam32.exe na pasta C:\WINDOWS\SYSTEM. Ele também cria a seguinte valor na chave do registro para se auto-executar automaticamente:
HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe
Uma listagem de arquivos .GIf, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS e .ZIP na pasta Meus Documentos é salva no arquivo SCD.DLL ( o segundo caracter do nome parece ser variado ) na pasta \WINDOWS\SYSTEM. Os emails retirados do Windows Address Book e do cache temporário do Navegador são salvos no arquivo SCD1.DLL ( o segundo e terceiro caracter do nome parece ser variado ) também na pasta \WINDOWS\SYSTEM.
O Vírus retira o nome dos arquivos encontrados no arquivo SCD.DLL e atacha uma cópia do arquivo original ao email que é enviado com dupla extensão e que termina com .BAT, .COM, .EXE, .LNK e .PIF.
Ele também cria um outro valor em uma chave no registro, como segue:
HKLM\Software\Sircam
Este Worm infecta outros sistemas usando compartilhamentos na rede. Em sistemas remotos o arquivo \WINDOWS\rundll32.exe pode ser substituída por uma cópia infectada. Nesses sistemas ele adiciona a seguinte linha ao AUTOEXEC.BAT: @win \recycled\sirc32.exe
Além disso, o vírus pode deletar arquivos no dia 16 de Outubro ou preencher o espaço no Disco Rígido sempre adicionando entradas de texto no arquivo infectado encontrado na lixeira do windows.
Sintomas
O principal sintoma é a presença do arquivo SCam32.exe na pasta \WINDOWS\SYSTEM.
Como remover?
Retire todas as chaves do registro mencionadas anteriormente e, pelo prompt do DOS, remova o arquivo .PIF ou .LNK encontrados na pasta \RECYCLED. Remova também a linha adicionada ao AUTOEXEC.BAT. Atualize as DATs de seu antivírus e use-o com opção de scanear todos os arquivos. Detectado o arquivo SCam32.exe, delete-o, pois ele não pode ser limpado, e talvez também o arquivo rundll32.exe, e substitua-o por uma cópia não infectada.
0 comentários:
Postar um comentário