Vorstellung des Virus Sircam

Der Virus Sircam (Codename W32.Sircam.Worm@mm, Backdoor.SirCam oder Troj_Sircam.a)und ein Wurm breitet sich mittels der elektronischen Post aus. Er betrifft besonders die Microsoft Outlookbenutzer unter den Betriebssystemen Windows 95, 98, Millenium und 2000.

die Virusaktion

Der Sircam-Wurm wählt zufällig ein Dokument ( mit Erweiterung .gif, .jpg, .mpg, .jpeg, .mpeg, .mov, .pdf, .png, .ps ou .zip)Sie befinden sich im Speicherplatz c:\Mes Documents\ vom infizierten Rechner dann automatisch sendet eine elektronische Post, deren Thema der Name dieses Dokuments ist, dessen Körper der Mitteilung eine der zwei folgenden Mitteilungen ist :

• in Englisch

  "Hi! How are you?
  I send you this file in order to have your advice
  See you later. Thanks"

  "Hi! How are you?
  I hope you can help me with this file that I send
  See you later. Thanks"

  "Hi! How are you?
  I hope you like the file that I send to you
  See you later. Thanks"

• oder in spanisch

  "Hola como estas ?
  Te mando este archivo para que me des tu punto de vista
  Nos vemos pronto, gracias."

Der Sircam-Wurm kann außerdem die Vollständigkeit der Dateien Ihrer Festplatte entfernen 16 October jedes Jahr, wenn Ihr Rechner ein europäisches Datumsformat benutzt (Tag/Monat/Jahr).

Sircam fügt auch Texte an die Datei c:\recycled\sircam.sysBei jedem Neustart des Gerätes, was potentiell den verfügbaren Raum auf dem Laufwerk füllen kann C:\.

Infektionssymptome

Die infizierten Geräte besitzen auf ihrer Festplatte die Dateien :

• Sirc32.exe
• Sircam.sys
• Run32.exe

Um zu prüfen, ob Sie infiziert werden, führen sie einen Suchvorgang der oben erwähnten Dateien über die Gesamtheit Ihrer Festplatten durchStarten/Suchen/Dateien und Akten).

Den Virus löschen

Um den Sircam-Wurm zu löschen, besteht die beste Methode darin, einen neuen Antivirus zu benutzen oder der durch Symantec vorgeschlagene DesinfektionsSatz :
Herunter der Desinfektionskit

Es ist Ihnen ebenfalls möglich, eine manuelle Desinfektion entsprechend das folgenden Verfahren durchzuführen :

• Datei löschen Sirc32.exe und Sircam.sys
• Datei löschen c:\windows\Runddl32.exe
• Datei umbenennen c:\windows\Run32.exe in c:\windows\Rundll32.exe
• Datei einführen c:\autoexec.bat und die folgende Sequenz löschen :@win \recycled\sirc32.exe
• Im Registerverzeichnis (ausführen c:\windows\regedit.exe)
  • in HKEY_CLASSES_ROOT/exefile/shell/open/commandändern sie das Eingabefeld mit einem Doppelklick auf Fehler)die folgende Kette eingeben :

    "%1" %*

  • in HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesKennwort löschen Driver32=C:\WINDOWS\SYSTEM\SCam32.exe
  • in HKEY_LOCAL_MACHINE/SoftwareOrdner löschen Sircam
• Den Rechner neustarten

mehr Informationen über den Virus

• http://solutions.journaldunet.com/0107/010724_virus.shtml
• http://vil.nai.com/vil/dispVirus.asp?virus_k=99141
• http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_SIRCAM.A
• http://www.sophos.com/virusinfo/analyses/w32sircama.html