1era. línea
¿Hola como estas?
Hi! How are you?

2da. línea
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send you
This is the file with the information that you ask for

3era. línea
Nos vemos pronto, gracias.
See you later. Thanks.

Junto a este mensaje será recibido un archivo adjunto de doble extensión (por ejemplo, adjunto.xls.pif), cuya primer extensión puede ser una de las siguientes: .DOC, .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, .XLS o .ZIP, y la segunda, .BAT, .COM, .EXE, .LNK o .PIF.

El asunto del mensaje recibido será el nombre del archivo adjunto. Por lo tanto, si se recibe en un mensaje como el anterior, un fichero adjunto de nombre diccionario.doc.bat, el asunto del mensaje será diccionario.

El nombre del archivo adjunto es aleatorio, por lo que no es posible identificar al virus por un nombre en particular. Una descripción completa del virus puede ser encontrada aquí.

Como primera, y obvia, recomendación, no deben abrir ningún archivo adjunto de estas características. Si reciben un archivo con estas características, elíminen directamente el mensaje de su sistema, o reenvienlo, sin abrirlo, a ejemplos@virusattack.com.ar o notifiquenos a través de nuestro formulario de Contacto.

Es importante aclarar que sólo se infectarán si abren el archivo adjunto al mensaje.

Si le es imposible seguir estos pasos, ya sea por desconocimiento técnico o por algún problema al realizarlo, puede comunicarse con nosotros a través de nuestro formulario de Contacto ya sea para recibir asistencia online o para consultar por un servicio técnico a domicilio.

Cómo desinfectarse del virus

Los antivirus más importantes, actualizados, son capaces de detectar y eliminar el virus de su sistema sin problemas. Pero, dadas la gran cantidad de modificaciones que el Sircam realiza en el registro de configuración del sistema, es importante que se sigan estos pasos para su correcta eliminación:

1. Buscar el archivo REGEDIT.EXE en su sistema y renombrarlo como REGEDIT.COM.
2. Ejecutar el archivo REGEDIT.COM recién renombrado.
3. Editar la clave de registro HKCR\exefile\shell\open\command\Default (o Predeterminada), dejando sólo su valor original: "%1" %* (debe escribir comillas-porciento-uno-comillas-porciento-asterisco).
4. Eliminar la entrada de registro de nombre Driver32 en la clave de registro HKLM\SOFTWARE\Microsoft\Windows\
   CurrentVersion\RunServices.
5. Eliminar la carpeta SirCam ubicada en la clave de registro HKLM\SOFTWARE.
6. Cerrar el archivo REGEDIT.COM y editar el archivo AUTOEXEC.BAT de su sistema, eliminando, de existir, la línea @win \recycled\sirc32.exe.
7. Eliminar los archivos scmx32.exe y/o Microsoft Internet Office.exe, de existir, en el directorio de inicio del sistema.
8. Reiniciar el equipo.
9. Eliminar los archivos \Recycled\SirC32.exe y \Windows\System\scam32.exe.
10. Si encuentra un archivo run32.exe en el directorio de Windows, eliminar el archivo rundll32.exe de ese directorio, y renombrar el archivo run32.exe como rundll32.exe.
11. Ejecutar un antivirus actualizado, eliminando todo otro rastro del virus.

NOTA: si se necesita más información sobre qué es el Registro, y cómo editarlo, podrán encontrar un artículo titulado "Explicación del Registro de Windows" con información al respecto, en nuestra sección de Documentos.

Algunos problemas conocidos

El accionar del virus, modificando la asociación de los archivos ejecutables (EXE), puede causar algunos problemas tras una incompleta desinfectación. Si tras utilizar un antivirus para detectar y eliminar los archivos infectados en su sistema, no puede volver a ejecutar distintas aplicaciones correctamente, recibiendo un mensaje del estilo del siguiente:

"No se puede iniciar la aplicación porque falta el archivo SirC32.exe"

debe realizar la totalidad de los pasos detallados con anterioridad. Si alguno de los pasos no puede ser realizado, no se preocupe; lo más importante es que realice todos aquellos pasos en los que se modifica el registro del sistema. Los pasos referentes a la eliminación de algún archivo, puede que no sean realizados dado que es probable que el antivirus los haya eliminado.

Otro inconveniente que se ha presentado al intentar eliminar este virus es cuando el mismo se encuentra en archivos que han sido resguardados por el sistema en el directorio _Restore. Los antivirus no pueden eliminar/desinfectar archivos que se encuentren en dicho directorio por lo que es necesario, si son detectados archivos infectados en él, que se sigan los pasos descriptos en el artículo "¿Cómo eliminar los virus alojados en el directorio _Restore en Windows Millenium?" que puede ser encontrado en nuestra sección de Documentos.

Aclaraciones

Este gusano, que llamamos Worm/Sircam, es conocido por muchos otros nombres, todos ellos relacionados con el sufijo que utiliza cada compañía/centro de investigación para denominarlo, como por ejemplo, W32/Sircam.c, W32/Sircam@mm, I-Worm/Sircam, etc. Igualmente, todos contienen el nombre Sircam en su denominación, y es así como se lo conoce genéricamente.

Por error, en el Suplemento de Informática del Diario La Nación, con fecha del 23 de Julio del 2001, se le asigna, también, el nombre Code Red, el cual es otro gusano que nada tiene que ver con el Sircam.

Para más información sobre el Code Red, les recomiendo leer nuestro artículo al respecto de él. Recuerden, nada tiene que ver con el Worm/Sircam (o Sircam a secas) por el que realizamos está sección.