Um novo programa malicioso que está se espalhando pela internet. Chamado pela Symantec de W32.Sircam.Worm@mm, pela McAfee de W32/SirCam@MM e pela Trend Micro de TROJ-SIRCAM.A, o vírus não apaga dados ou danifica o computador, mas irá divulgar informações pessoais. A Symantec o considera uma ameaça de nível médio, enquanto a Trend Micro o considera de baixo risco.

Ele chega como um anexo de nome aleatório em uma mensagem cujo assunto é o nome desse arquivo. O corpo da mensagem contém um texto que pode estar em inglês ou em espanhol. No texto em inglês a mensagem começa com a saudação "Hi! How are you?", e em seguida há um texto semi-aleatório que termina com "See you later Thanks". A versão em espanhol começa com a saudação "Hola como estas ?", segue com um texto semi-aleatório e termina com as palavras "Nos vemos pronto, gracias.".

Quando executado em um computador, o vírus copia para o diretório c:\recycled o arquivo Sirc32.exe e altera o registro do Windows. Ele gera uma lista dos arquivos do tipo GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, e .ZIP que encontra no diretório c:\mydocuments e a guarda no arquivo c:\windows\system\SCD.DLL. O vírus copia seu código para o final desse arquivo e o envia para todos os endereços de correio eletrônico encontrados no cache do navegador da internet.

As indicações da presença do vírus são a presença do arquivo Sirc32.exe no diretório c:\windows\system e da chave HKEY-LOCAL-MACHINE\Software\SirCam no registro do Windows.

Como remover o Sircam

Para saber se o computador está infectado

Abra um prompt do MS-DOS e digite ''cd c:\recycled'' e tecle ENTER. Digite ''dir *.exe /ah'' e tecle ENTER. Se você encontrar o arquivo sirc32.exe, o computador está infectado.

Para remover o Sircam

Pegue o utilitário FixSirc.com, da Symantec, em www.symantec.com.br/region/br/ avcenter/data/w32.sircam.worm@mm.htm. Se o computador estiver conectado a uma rede local, desconecte-o dela. Execute o utilitário, ele removerá a maior parte dos arquivos que compõem o vírus.

Siga as instruções do documento para remover as entradas feitas pelo Sircam nos arquivos REGEDIT.EXE e AUTOEXEC.BAT. Se você não encontrar qualquer entrada, significa que o utilitário já as removeu.

Esvazie a lixeira. Abra um prompt do MS-DOS e mude para o diretório c:\recycled (digite ''cd c:\recycled''). Digite ''attrib *.* -h'' (isso retirará o atributo oculto do arquivo SIRC32.EXE e de qualquer outro criado pelo vírus). Esvazie a lixeira.

Se o computador está em rede corporativa, cheque as outras máquinas. O Sircam se espalha pela rede local e, se ainda estiver presente num computador, a máquina é reinfectada.

Atualize seu antivírus e execute uma busca, para evitar mais problemas. Se você não tiver um programa antivírus, clique AQUI para baixar um gratuito, mas antes de utilizá-lo, não se esqueça de atualizá-lo.

Para retirar Sircam do Windows ME

Quem utiliza o sistema operacional Windows ME e foi infectado pelo Sircam percebe que, mesmo depois de limpar seu computador, o programa antivírus continua indicando a presença do worm no diretório c:-restore, mas não consegue apagá-lo. Para tirar o Sircam desse diretório, siga os seguintes passos:

1.Feche todos os problemas e clique no ícone "Meu Computador" com o botão direito do mouse.

2.Escolha a opção "Propriedades". Clique na aba "Desempenho".

3.Aperte o botão "Sistema de arquivos". Escolha a aba "Solução de Problemas".

4.Marque o quadrado "Desabilitar o System Restore". Clique em OK nessa janela e nas seguintes. Quando aparecer a opção "Você deseja reiniciar seu computador agora?", responsa afirmativamente.

5.Assim que o computador ligar, faça uma busca com seu programa antivírus e apage os arquivos contaminados. Para reativar o System Restore, siga os mesmos passos e desmarque o quadrado correspondente.

Atualize seu programa antivírus e não abra qualquer arquivo suspeito que chegue por e-mail. O vírus chega anexado a mensagens que podem estar em inglês, espanhol ou português. O arquivo é executável, com extensões como PIF, BAT, COM, LNK ou EXE.

Versão em português

Primeira linha: Oi! Como vai você?
Última linha: Vejo você mais tarde. Obrigado.

Versão em espanhol

Primeira linha: Hola como estas?
Última linha: Nos vemos pronto, gracias.

Versão em inglês

Primeira linha: Hi! How are you?
Última linha: See you later. Thanks

Para evitar a contaminação pela rede da empresa, o melhor remédio é a atualização do antivírus corporativo. Um paliativo é a desativação do compartilhamento de pastas, ou então a escolha das opções ''Somente leitura'' ou ''Exigir senha''.

Links:
Aviso do Instituto Cert
Mapa dos vírus mais populares, da Trend Micro
Centro Antivírus da Symantec

Atualizada em: 02.09.08

Páginas vistas

    Desde abril de 2000

| Tutoriais | Serviços | Cinemas | Vestibular | Links | Buscas | Download | Notícias atuais | Fale conosco | Mail |  Estágios | Dicas |