NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Nueva variante del Gusano de ALTA PROPAGACIÓN: W32/SirCam@MM

 

Nombre de virus: W32/SirCam@MM
Alias conocidos:    -
Riesgo Infección: Alto (Bajo, Alto, Muy Alto)
Activación: Por ejecución de fichero ejecutable adjunto en e-mail
Propagación: Por correo electrónico y a través de red
Detección: DATS 4150
Motor necesario: 4.0.70
Infección actual: Media (Inicial, Media, Elevada)

 

Es muy importante actualizar los DAT a la versión 4150 para detectar esta nueva variante del virus W32/SirCam@MM

 

Para detectar correctamente este virus, es necesario controlar las siguientes extensiones en el VShield:

BAT, LNK, PIF

 

Virus w32/Sircam - proliferación y detalles

 

El reciente virus Sircam, controlado desde DATS 4148, ha demostrado ser, en la práctica, incluso más prolífico de lo que ya se esperaba  teóricamente, pues la autogeneración de fichero de direcciones propio buscando donde hubiera una dirección de e-mail en todo el disco duro, ha encontrado direcciones desconocidas y enviado e-mail con fichero infectado a destinatarios inverosímiles, como puede verse en el fichero de direcciones en cuestión, de nombre aleatorio pero que reside en el directorio de sistema de Windows S??1.DLL que puede abrirse fácilmente con el bloc de notas o con el wordpad.

 

Una mayor experiencia obtenida tras los miles de casos que hemos tenido

que tratar con este virus, nos ha proporcionado la mejora de recursos para combatirlo, habiendo podido desarrollar las herramientas idóneas  para eliminarlo, así como el método a seguir para obtener los mejores y mas rápidos resultados.

 

Como sea que el virus modifica claves en el registro de sistema y, remotamente infecta ordenadores en red, modificando el Autoexec.bat, hemos creado la herramienta ELISIRCA.EXE, disponible en las utilidades de SATINFO  de nuestra web www.satinfo.es

 

También pueden bajar del mismo sitio la utilidad UNDO.REG, por si les hiciera falta. Al mismo tiempo, si todavia no hubieran actualizado los DATS, deben descargar los DATS existentes en nuestra web (4149 o superior) y realizar el AUTOUPDATE, o bajar y ejecutar el SDAT4149.EXE o superior.

 

Con todo ello, empezar por ejecutar el ELISIRCA.EXE, salvo que por haber

borrado el fichero SIRC32.EXE de la papelera, no se pudiera ejecutar ningún

EXE, en cuyo caso deberíamos ejecutar antes el UNDO.REG, mediante doble clic sobre este fichero, y luego ejecutar el ELISIRCA.EXE. Tras ello, salir de

 Windows (salvo NT o 2000) u arrancar con disco de INICIO o en WINDOWS 9x con  varias pulsaciones de F8 hasta obtener el Menu de Inicio de Windows y

seleccionar Arrancar en solo símbolo del sistema. Luego ejecutar DIR SCAN.DAT /S  y situarse en la ruta obtenida, que es el directorio del antivirus. Una vez  en dicho directorio, ejecutar SCAN C: /clean, y tras ello el ordenador habrá quedado limpio de virus.

 

UNA VEZ LIMPIADOS LOS ORDENADORES NO DEBEN CONECTARSE A LA RED HASTA QUE TODOS ESTEN LIMPIOS, PUES CON SÓLO UNO INFECTADO, INFECTARIA DE NUEVO LOS DEMAS.

 

Por último es posible que el fichero RUNDLL32.EXE se haya perdido. A pesar

de que con el ELISIRCA.EXE v1.2 se consigue recuperar dicho fichero de una

copia de seguridad, si ella está limpia, pero en cualquier caso conviene

comprobar su existencia dentro del diretorio de Windows, y si no existe,

copiarlo de otro ordenador limpio o extraerlo del CDROM de instalación

de Windows, pues sin este fichero los ordenadores no podrían verse en Red

 

El payload o activación destructiva lo tiene previsto para el 16 de Octubre, si bien en las pruebas experimentales realizadas en nuestro servicio técnico con ordenadores sin acceso a INTERNET, ya se nos ha activado dos veces, con

el borrado de gran parte del disco duro, por lo que avisamos, si es el caso, que disponemos de la herramienta para recuperar ficheros borrados en FAT32, la cual aunque no está contemplada en el antivirus, facilitamos a los usuarios afectados por virus de este tipo, como el THUS, o el SAN VALENTIN, si bien para ello no debe haberse sobrescrito el disco duro.

 

Este virus puede venir en ficheros con doble extensión, como .DOC.PIF, siendo

la última la que realmente vale, y que debe estar controlada por el antivirus.

Como que dos de las extensiones usadas son nuevas, avisamos que deben añadirse a las extensiones a controlar, las BAT y las LNK, pues aun con los nuevos DATS, si llegase uno fichero con esta extensión y no estuviera controlada,   no sería detectado.

 

Esperamos queden aclaradas todas las dudas al respecto, pero para consultas

puntuales pueden contactar con nosotros al HOTLINE  93 4585385 o sat@satinfo.es

 

 

 

SATINFO, VIRUSCAN SPAIN SERVICE                Barcelona, 27 JULIO 2001