Pues sí, un nuevo virus ha aparecido para "alegrarnos" las vacaciones.

Se que hay muchos medios para enterarse de estas maravillas de la tecnica que tanto nos divierten cuando nos afectan, yo acabo de llegar de mi trabajo despues de chequear 20 Pcs, el mio irremediablemente se verá condenado al mas duro de los formateos.. en fin os pego abajo un poquito de lo que McAffe ha puesto en su web. Sobre todo no abrais ningún e-mail si saber lo que contiene, yo por razones que no vienen al caso recibo en mi puesto de trabajo infinidad de mensajes que no conozco y hay veces que me toca bailar con la fea del lugar. este se caracteriza por que te lo envia alguien conocido (o no) y en el asunto dice:
Hola como estas ?

Te mando este archivo para que me des tu punto de vista
or Espero me puedas ayudar con el archivo que te mando
or Espero te guste este archivo que te mando
or Este es el archivo con la información que me pediste


Nos vemos pronto, gracias.

y te anexa el ficherito hijo puta de turno.. en fin os pego toda la información que da mcaffe en su peich.

quote:

---

Virus Name Risk Assessment
W32/SirCam@MM Medium



Virus Information
Discovery Date: 07/17/2001
Origin: Unknown
Length: 137,216
Type: Virus
SubType: E-mail
Minimum Dat: 4148
Minimum Engine: 4.0.70
DAT Release Date: 07/18/2001
Description Added: 07/17/2001



Virus Characteristics
For detection of W32/SirCam@MM, the LNK extension needs to be present on to the extension list or SCAN ALL FILES must be chosen.
This mass-mailing virus attempts to send itself and local documents to all users found in the Windows Address Book and email addresses found in temporary Internet cached files (web browser cache).

It may be received in an email message containing the following information:

Subject: [filename (random)]
Body: Hi! How are you?

I send you this file in order to have your advice
or I hope you can help me with this file that I send
or I hope you like the file that I sendo you
or This is the file with the information that you ask for

See you later. Thanks

--- the same message may be received in Spanish ---

Hola como estas ?

Te mando este archivo para que me des tu punto de vista
or Espero me puedas ayudar con el archivo que te mando
or Espero te guste este archivo que te mando
or Este es el archivo con la información que me pediste


Nos vemos pronto, gracias.

--- end message ---

Attached will be a document with a double extension (the filename varies). The first extension will be the file type which was prepended by the virus. When run, the document will be saved to the C:\RECYCLED folder and then opened while the virus copies itself to C:\RECYCLED\SirC32.exe folder to conceal its presence and creates the following registry key value to load itself whenever .EXE files are executed:

HKCR\exefile\shell\open\command
\Default="C:\recycled\SirC32.exe" "%1" %*

As the RECYCLE BIN is often on the exclusion list, check your settings to insure that this directory IS being scanned.

It also copies itself to the WINDOWS SYSTEM directory as SCam32.exe and creates the following registry key value to load itself automatically:

HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe

A list of .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, and .ZIP files in the MY DOCUMENTS folder is saved to the file SCD.DLL (the 2nd character of the name appears to be random) in the SYSTEM directory. Email addresses are gathered from the Windows Address Book and temporary Internet cached pages and saved to the file SCD1.DLL (the 2nd and 3rd character of the name appears to be random) in the SYSTEM directory.

The worm prepends a copy of the files that are named in the SCD.DLL file and attaches this copy to the email messages that it sends via a built in SMTP server, using one of the following extensions: .BAT, .COM, .EXE, .LNK, .PIF. This results in attachment names having double-extensions.

The program creates a registry key to store variables for itself (such as a run count, and SMTP information):
HKLM\Software\Sircam

The virus may also infect other systems by using open network shares. On remote systems the file \windows\rundll32.exe might get replaced with a viral copy. On those systems, it might also append the autoexec.bat with the line: @win \recycled\sirc32.exe.
Aside from e-mail overloading, it might delete files on 16 October and/or fill up harddisk space by adding text entries over & over again to a sircam recycle bin file.




Symptoms
Presence of SCam32.exe in the WINDOWS SYSTEM directory.



Method Of Infection
This virus sends itself, as an executable, to email recipients found in the Windows Address Book and addresses found in cached files. This executable is appended with a document if one is found in MY DOCUMENTS folder. The mailing routine talks SMTP to a server and will use server address found in infected executables. This address is presumably captured from the victim's machine which sent the virus to you. If that server is not in operation, or if relaying is not permitted, the virus attempts to use each of these three servers, stopping when the first successful send occurs.
doubleclick.com.mx
enlace.net
goeke.net




Removal Instructions
Use specified engine and DAT files for detection and removal.
Windows ME Info:
NOTE: Windows ME utilizes a backup utility that backs up selected files automatically to the C:\_Restore folder. This means that an infected file could be stored there as a backup file, and VirusScan will be unable to delete these files. These instructions explain how to remove the infected files from the C:\_Restore folder.

Disabling the Restore Utility

1. Right click the My Computer icon on the Desktop.
2. Click on the Performance Tab.
3. Click on the File System button.
4. Click on the Troubleshooting Tab.
5. Put a check mark next to "Disable System Restore".
6. Click the Apply button.
7. Click the Close button.
8. Click the Close button again.
9. You will be prompted to restart the computer. Click Yes.
NOTE: The Restore Utility will now be disabled.
10. Restart the computer in Safe Mode.
11. Run a scan with VirusScan to delete all infected files, or browse the file's located in the C:\_Restore folder and remove the file's.
12. After removing the desired files, restart the computer normally.
NOTE: To re-enable the Restore Utility, follow steps 1-9 and on step 5 remove the check mark next to "Disable System Restore". The infected file's are removed and the System Restore is once again active.

Registry Entries:
The W32/SirCam@MM virus makes changes to the registry.

HKLM\Software\Microsoft\Windows\CurrentVersion\ RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe

HKLM\Software\Sircam


In Infected state: HKCR\exefile\shell\open\command \Default="C:\recycled\SirC32.exe" "%1"%*

In Clean state this should be: HKCR\exefile\shell\open\command \Default=""%1"%*"


Note that manual modification of registry items is dangerous and should not be needed at all as VirusScan will clean all the registry items automatically.





Variants
Name Type Sub Type Differences
no known variants



Aliases
Name
no known aliases

---

apa a kaskarla

Gracias tio, estas cosas va bien saberlas.


P.D. Força Pedro!!!

Pues recibí dos mails con este virus, pero suerte que ya me lo conocia y el antivirus actualizado ayudó.

Saludos,

Frozen.

Gracias submarinista!!!

David Plaza
http://www.pobladores.com/territorios/depo...OCIDAD_ESTATICA

¿Tablas...?

Joder!! a mi me ha llegado hoy un correo así y lo he abierto, y no me ha pasado nada... pero sabeis que puedo hacer para eliminarlo? estoy cagao!!

Este es el mensaje que nos ha pasado el de sistemas de nuestra empresa sobre este virus:

"El 16 de Julio se descubrio un nuevo virus llamado W32/Sircam, que inferta los EXE.

El virus puede venir en correos electronicos de personas conocidas que esten infectadas. Suele venir en ficheros adjuntos de Excel (XLS) y en el asunto puede poner simplemente "Hola, Que tal estas?" o algo parecido. Te suelen pedir la opinion sobre el fichero adjunto, por lo que insisto una vez mas en que NO SE DEBEN ABRIR FICHEROS QUE NO ESPERAMOS RECIBIR..

Este virus borrara informacion del disco duro a partir del 16 de Octubre, pero antes de eso, en cuanto se este infectado, puede enviarse a toda la liste de correo que tengamos.

Otro efecto secundario, es que se nos bloquee la cuenta de correo electronico, debido a la llegada masiva de correos infectados a nuestro buzon, superando su capacidad de almacenamiento y lentificando en gran medida la bajada del correo.

He estado buscando en internet, y Panda tiene una solucion. Es el fichero pqremove.com que ya teneis, pero debido a la reciente fecha del virus, no se si sera valido (podria valer, ya que el virus, no emplea ninguna tecnica muy nueva y este antivirus podria detectarlo) el que tenemos ahora o habra que conseguir uno nuevo. Os mantendre informados a ver si bajo una version posterior y si es posible, ejecutarla esta tarde para que quede trabajando por la noche, por si acaso, ya que, aunque no tengo noticias de que alguien este infectado, mas vale prevenir."

El aviso me llega tarde, yo recivi el mail, el dia 22, justo uno que pone en asunto AVIONES y en el texto "Te mando este archivo para que me des tu punto de vista".

Supongo que sera el virus, asi que si alguen recive un mail mio con un documento adjunto, que no lo abra y lo borre.

No recuerdo de parte de quien me llego porque lo he borrado, pero se lo dije por correo, asi que el ya lo sabe.

De momento yo no he notado nada extraño en mi pc, "ya que intente abrir el adjunto, pero no pude", supongo que estare infectado.

Ahora empezare a pasar el McAfee, ya que acabamos de instalar la nueva version recien recivida.

De todos modos, gracias por el aviso, ya que de no haberlo sabido, hubiera ignorado el mail y el dia ese que se activa me hubiera llebado la sorpresa.

Ya mañana os digo si estaba infectado o no, ahora me voy a comer, dejando el antivirus enmarcha.

Saludos Arturo.

Si tienes el McAffe debe de estar actualizado a la version 4149 (la 4148 tambien lo detecta)
Si está infectado debes de hacer tres cosas,

Primero: En los disquettes de actualizacion hay un fichero que se llama undo.reg, lo ejecutas.

Reinicias.

Te bajas de la web de McAffe (http://www.satinfo.es) el archivo "elisirca" lo ejecutas.

Reinicias como MsDos buscas donde está en antivirus y ejecutas el scan de la siguiente forma.

scan c: /all /clean

y ya ta.. a tomar por saco la bicicleta rota.

En caso de duda puedes llamar a Satinfo, ellos te ayudarán en todo lo que necesites..

Claro que debes de tener el numero de licencia y si es legal lo tendras viene en la caja del antivirus dentro de un sobre.

apa a kaskarla

Pues a mi me llego este virus hace una semana y me costo sacarlo... el desgraciado me borraba el antivirus cada vez que encendia el ordenador. Aparte, agarraba cualquier archivo (documento en word, excel, bmp, etc) y lo enviaba aleatoriamente a emails de mi libro de direcciones, e incluso a emails que hubieran en la carpeta temporary internet files.
Para saber si lo tienen, este cabroncete pone un archivo llamado sirC32.exe en la papelera de reciclaje (bueno se llama recycle bin aqui).
Despues de usar el antivirus, hay que entrar al Registry y borrarlo desde ahi tambien.


Desde Chicago con V-12

A mí me llego un correo con el texto en inglés que dices y con el virus, el virus ni lo guarde ni lo ejecuté ni nada. Borré el correo directamente. No me habrá pasado nada, ¿no?


*****************
-----------------
felipe
-----------------
*****************

Pues ni idea mira que no tengas el Sircan.exe en ningun lado. en teoria si no abriste el correo no tienes porque tener el ordenador "infectado"

Bueno, sigo sin saber si lo tengo o no porque mi version es todavia la 4145.

Mañana instalaremos la ultima actualizacion que ha llegado por internet, y aver si lo detecta (si es que lo tengo), y si lo detecta no pasa nada, como si estamos licenciados, llamados a McAfee y que nos lo solucionen, que para eso les pagamos.

Gracias por la info.

De todos modos, creo que no me he infectado, mi correro de momento no ha enviado nada a nadie (a no ser que lo haga sin dejar rastro en elementos enviados).

Saludos Arturo, Y recordad no habrir adjuntos de correos desconocidos e incluso si los conoces y no los esperas tampoco.

Yo ya lo he recibido tres veces.

Es aconsejable que desactiveis en

Opciones de carpeta - ver - Ocultar extensiones para archivos conocidos.

Ya que este y otros virus utilizan doble extension. Por ejemplo.

Hola.doc.exe

Y si si teneis marcada la opcion este se os muestra como

Hola.doc

Saludos,

Hola,

después de dos días de árduo trabajo parece que he conseguido limpiar los ordenadores de mi trabajo. Era divertido ir siguiendo al virus de ordenador en ordenador.

Si estais en una red local no compartais el disco duro, de esta manera no se expande.

Saludos

Pregunta para los entendidos:

Acabo de recibir en mi correo un emilio de una tal Miriam, con un fichero adjunto llamado orgasmo.zip.com.

Ya que iba precedida de la frase famosa ¿Que opinas del fichero...?, pues lo he borrado.

El ficherito de marras tenía un tamaño de 1 mega.

Mi duda es la siguiente: por el tiempo que me ha tardado en recibir el correo, parece que me ha descargado el fichero en algun sitio. No lo he ejecutado, ni nada. Lo que ahora no sé si el fichero se ha quedado en algún sitio, si se ha quedado agazapado, si se ha podido "autoejecutar",... o símplemente con haber borrado el correo se va todo el peligro.

He buscado ficheros modificados o creados a la hora de la recepción del correo, pero no he encontrado nada.

¿Estoy salvado?

Volviendo a lo de antes, quisiera saber como es que me ha descargado el fichero sin pedirlo.

Recuerdo que antes se me mostraba el mensaje del emilio e información sobre los ficheros adjuntos. Sólo cuando mandaba recibirlos, entonces se descargaban.

¿Es alguna opción del Outlook Express?

Infierno, yo he recibido exactamente el mismo e-mail que tu, a nombre de miriam, luego ya sabemos que procede del foro.

Yo tambien me lo he cargado, no se si se ha metido por otro lado, desde luego a mi me ha bajado 2 megas o casi, y si dices que su extension era de solo 1 mega (Yo no lo he mirado), es posible que si nos pueda haber sucedido eso que indicas, que se haya colado una imagen en los archivos temporales o asi, ademas me parecio leer que este ultimo que ha salido hacia eso, se almacenaba una imagen en los archivos temporales o por otros sitios.

Estoy contigo, si alguien sabe algo que lo indique please!.

Que la fuerza os acompañe.

menuda putadita lo del virus este. Ami tambien me llego pero tengo entendido que si no lo ejecutas no te infecta.

Bueno el caso es que yo me entere 1 o 2 dias antes que saliera el gt3 atraves de una alerta de myalert que tienen y que es sobre virus informáticos. Esta cojonuda me enteré el mismo dia que se inicio la plaga.http://www.myalert.com


-"Algunas veces se gana; otras se pierde"

http://www.lanzadera.com/f1pincho

A mi tambien a nombre de miriam y otro a nombre de pablo... dos en un día...

http://www.f1photogallery.com
Visitarla, dentro de poco la nueva version con buscador...