Un nuevo virus ataca desde el correo electrónico
El TROJ_SIRCAM.A infecta archivos o sectores de booteo, y corre bajo cualquier sistema operativo de Windows, desde el 95 hasta el 2000.
(NA). – Un nuevo y peligroso virus que se propaga velozmente a través del correo electrónico, provocando serias complicaciones si llegara a ejecutarse, fue descubierto
recientemente, según alertaron los especialistas.
Sin provocar el daño que causó tiempo atrás el “I Love You”, el TROJ_SIRCAM.A infecta archivos o sectores de booteo, y corre bajo cualquier sistema operativo de Windows, desde el 95 hasta el 2000.
El nuevo “gusano” fue descubierto el pasado día 17 de este mes, y contiene su propio SMTP (código de conexión al correo electrónico) con el objetivo de propagarse a sí mismo en forma similar al W32.Magistr.Worm.
En una de cada 20 veces, o el 16 de octubre, el worm intentará borrar todos los archivos y carpetas de la unidad C. Esto funciona sólo en las computadoras con el formato DIA/MES/AÑO, en español, o en inglés es MES/DIA/AÑO. Después de 8.000 Ejecuciones
el worm se detiene.
El TROJ_SIRCAM.A llega en un e-mail con el siguiente contenido: “Hola como estás? Nos vemos pronto, gracias” (en español), o bien con “Hi! How are you?. See you later. Thanks”.
El “Subject” (asunto) del e-mail cambiará aleatoriamente y será el mismo que el nombre del attachment (archivo adjunto) del e-mail.
En tanto, el cuerpo del mensaje es semi aleatorio, pero siempre contiene una de los dos textos mencionados, de acuerdo al idioma que se envíe.
Además, entre esas dos líneas contiene alguno de los siguientes textos: “Te mando este archivo para que me des tu punto de vista. Espero me puedas ayudar con el archivo que te
mando”; “Espero te guste este archivo que te mando” o “Este es el archivo con la información que me pediste”, si es en español.
Si la versión es en inglés el texto es “I send you this file in order to have your advice. I hope you can help me with this file that I send”; “I hope you like the file that I send you” o
“This is the file with the information that you ask for”.
El archivo adjunto posee doble extensión. La primera puede ser: .DOC, .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PIF, .PNG, .PS o .ZIP, mientras que segunda (que no es visible), puede ser .BAT, .COM, .EXE, .PIF o .LNK.
Los especialistas recomiendan no ejecutar el archivo, pese a que en muchos casos llega con el remitente de una persona conocida.
Si por error o descuido el usuario ejecuta el archivo adjunto, éste se copia a sí mismo en la carpeta: C:RECYCLEDSirC32.Exe.
Luego modifica el registro para poder ejecutarse cada vez que alguien ejecute un archivo .EXE: HKey_Classes_Rootexefileshellopencommand (Predeterminado) =. C:
ecycledSirC32.Exe “%1” %*.
El virus también se copia a sí mismo en el directorio: C:WindowsSystemSCam32.Exe, y crea además la siguiente entrada en el registro para ejecutarse cada vez que Windows se reinicia: HKey _Loc
al_MachineSoftwareMicrosoftWindowsCurrentVersionRunServices Driver32 = C:WINDOWSSYSTEMSCam32.Exe.
Pero este inquieto gusano no se queda allí, porque busca en la carpeta “Mis Documentos” todos los archivos con las siguientes extensiones: .DOC .GIF .JPG .JPEG .MPEG .MOV .MPG .PDF .PIF .PNG .PS .ZIP y graba la lista de sus nombres en el archivo: C:WindowsSystemSCD.DLL.
Su recorrido incluye la libreta de direcciones, las cuales graba en los archivos temporales de Internet en C:WindowsSystemSCD1.DLL.
En los archivos listados en el archivo SCD.DLL, el virus se agrega por delante y se envía adjunto a un e-mail pero con la doble extensión: .BAT .COM .EXE .PIF .LNK.
Asimismo, agrega esta entrada en el registro, donde guarda información que utiliza para su funcionamiento: HKLMSoftwareSirCam. FB1B (nombres de los archivos guardados en
C:Recycled). FB1BA (dirección IP del SMTP). FB1BB (dirección e-mail del emisor). FC0 (cantidad de veces que se ha ejecutado). FC1 (versión del gusano). FD1 (nombre del archivo ejecutado, sin la extensión).
Si el gusano encuentra algún recurso compartido en red, intentará copiarse en el directorio Windows de la máquina compartida, con el nombre de RUNDLL32.EXE.
El archivo RUNDLL32.EXE original, es renombrado como RUN32.EXE. Si esta acción es exitosa, el gusano modifica el archivo AUTOEXEC.BAT de esa máquina, incluyendo un comando que ejecutará el gusano en el próximo reinicio de Windows: @win
ecycledsirc32.Exe.
(NA). – Un nuevo y peligroso virus que se propaga velozmente a través del correo electrónico, provocando serias complicaciones si llegara a ejecutarse, fue descubierto
recientemente, según alertaron los especialistas.
Sin provocar el daño que causó tiempo atrás el “I Love You”, el TROJ_SIRCAM.A infecta archivos o sectores de booteo, y corre bajo cualquier sistema operativo de Windows, desde el 95 hasta el 2000.
El nuevo “gusano” fue descubierto el pasado día 17 de este mes, y contiene su propio SMTP (código de conexión al correo electrónico) con el objetivo de propagarse a sí mismo en forma similar al W32.Magistr.Worm.
En una de cada 20 veces, o el 16 de octubre, el worm intentará borrar todos los archivos y carpetas de la unidad C. Esto funciona sólo en las computadoras con el formato DIA/MES/AÑO, en español, o en inglés es MES/DIA/AÑO. Después de 8.000 Ejecuciones
el worm se detiene.
El TROJ_SIRCAM.A llega en un e-mail con el siguiente contenido: “Hola como estás? Nos vemos pronto, gracias” (en español), o bien con “Hi! How are you?. See you later. Thanks”.
El “Subject” (asunto) del e-mail cambiará aleatoriamente y será el mismo que el nombre del attachment (archivo adjunto) del e-mail.
En tanto, el cuerpo del mensaje es semi aleatorio, pero siempre contiene una de los dos textos mencionados, de acuerdo al idioma que se envíe.
Además, entre esas dos líneas contiene alguno de los siguientes textos: “Te mando este archivo para que me des tu punto de vista. Espero me puedas ayudar con el archivo que te
mando”; “Espero te guste este archivo que te mando” o “Este es el archivo con la información que me pediste”, si es en español.
Si la versión es en inglés el texto es “I send you this file in order to have your advice. I hope you can help me with this file that I send”; “I hope you like the file that I send you” o
“This is the file with the information that you ask for”.
El archivo adjunto posee doble extensión. La primera puede ser: .DOC, .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PIF, .PNG, .PS o .ZIP, mientras que segunda (que no es visible), puede ser .BAT, .COM, .EXE, .PIF o .LNK.
Los especialistas recomiendan no ejecutar el archivo, pese a que en muchos casos llega con el remitente de una persona conocida.
Si por error o descuido el usuario ejecuta el archivo adjunto, éste se copia a sí mismo en la carpeta: C:RECYCLEDSirC32.Exe.
Luego modifica el registro para poder ejecutarse cada vez que alguien ejecute un archivo .EXE: HKey_Classes_Rootexefileshellopencommand (Predeterminado) =. C:
ecycledSirC32.Exe “%1” %*.
El virus también se copia a sí mismo en el directorio: C:WindowsSystemSCam32.Exe, y crea además la siguiente entrada en el registro para ejecutarse cada vez que Windows se reinicia: HKey _Loc
al_MachineSoftwareMicrosoftWindowsCurrentVersionRunServices Driver32 = C:WINDOWSSYSTEMSCam32.Exe.
Pero este inquieto gusano no se queda allí, porque busca en la carpeta “Mis Documentos” todos los archivos con las siguientes extensiones: .DOC .GIF .JPG .JPEG .MPEG .MOV .MPG .PDF .PIF .PNG .PS .ZIP y graba la lista de sus nombres en el archivo: C:WindowsSystemSCD.DLL.
Su recorrido incluye la libreta de direcciones, las cuales graba en los archivos temporales de Internet en C:WindowsSystemSCD1.DLL.
En los archivos listados en el archivo SCD.DLL, el virus se agrega por delante y se envía adjunto a un e-mail pero con la doble extensión: .BAT .COM .EXE .PIF .LNK.
Asimismo, agrega esta entrada en el registro, donde guarda información que utiliza para su funcionamiento: HKLMSoftwareSirCam. FB1B (nombres de los archivos guardados en
C:Recycled). FB1BA (dirección IP del SMTP). FB1BB (dirección e-mail del emisor). FC0 (cantidad de veces que se ha ejecutado). FC1 (versión del gusano). FD1 (nombre del archivo ejecutado, sin la extensión).
Si el gusano encuentra algún recurso compartido en red, intentará copiarse en el directorio Windows de la máquina compartida, con el nombre de RUNDLL32.EXE.
El archivo RUNDLL32.EXE original, es renombrado como RUN32.EXE. Si esta acción es exitosa, el gusano modifica el archivo AUTOEXEC.BAT de esa máquina, incluyendo un comando que ejecutará el gusano en el próximo reinicio de Windows: @win
ecycledsirc32.Exe.
