ALERTA SOBRE DISSEMINA��O DO V�RUS W32_SIRCAM

[www.MPSOFT.com.br]

Prezados Usu�rios, Se nos �ltimos 3 dias voc� abriu arquivo anexado tipo TEXTO ou PLANILHA de uma mensagem: Hi! How are you? I send you this file in order to have your advice. See you later. Thanks Ou: Hola como estas ? Te mando este archivo para que me des tu punto de vista. Nos vemos pronto, gracias. Provavelmente voc� possa estar contaminado por um v�rus de r�pida dissemina��o por e-mail, o W32.SirCam. Descoberto em 17 de julho de 2001, j� atingiu milhares de computadores, inclusive aqui no Brasil. Al�m de congestionar o sistema de e-mail, ele exp�e documentos das v�timas que estejam armazenados no diret�rio Meus Documentos, enviando por e-mail um desses arquivos a toda a lista de contatos do Outlook. O arquivo anexo � mensagem � um execut�vel do v�rus com o documento roubado, e usa duas extens�es: a do documento (DOC, XLS ou MPG) seguida de BAT, COM, EXE, LNK ou PIF. Se o destinat�rio clicar no link para o anexo, o v�rus vai reconstituir as duas partes originais: o documento (texto ou planilha) e um programa execut�vel (v�rus). Com esse artimanha, o v�rus revela documentos das v�timas, que podem conter informa��es reservadas, e ao mesmo tempo, desarmando a vigil�ncia dos destinat�rios, pois envia um documento verdadeiro do suposto remetente normalmente conhecido da v�tima seguinte. Al�m disso, em muitos casos, o texto da mensagem, que � vari�vel, pede ajuda a respeito do documento anexo. O v�rus chega num e-mail cujo assunto pode variar, mas traz uma breve mensagem, em ingl�s ou em espanhol, que diz ao destinat�rio algo como o seguinte: �Ol�, como vai? Envio-lhe este arquivo para obter seu conselho�. Ou, ent�o, �Espero que voc� possa me ajudar com este arquivo�. Ou, ainda, �Este � o arquivo com a informa��o que voc� pediu�. Se executado, isto �, clicado no arquivo anexado (clips do Outlook), ele faz uma c�pia de si mesmo no diret�rio de sistema com o nome Scam32.exe e armazena o arquivo original na lixeira. Segundo a Trend Micro, empresa fabricante de antiv�rus, em certas situa��es, ele tamb�m cria o arquivo Scd.dll no diret�rio de sistema. Na an�lise do Sophos, outro fabricante, o Sircam tamb�m ocupa o lugar do arquivo Rundll32.exe, do Windows, renomeando este para Run32.exe. O v�rus cont�m recursos de SMTP pr�prios, que s�o usados para enviar e-mails a todos os endere�os existentes na lista de contatos do Windows. A Symantec descreve ainda um comportamento destrutivo do invasor n�o indicado por seus concorrentes. Segundo a empresa, h� uma probabilidade de 5% de o v�rus apagar todo o conte�do do drive C na data 16 de outubro de qualquer ano. Isso s� acontece em m�quinas cujas datas no Windows estejam configuradas para o padr�o d/m/a. Em sua descri��o do Sircam, a Symantec diz que a praga ainda est� sendo analisada, indicando que novas caracter�sticas podem ser descobertas. Portanto, verifique atrav�s das instru��es a seguir se voc� est� contaminado: ACESSO O PROMPT DO MSDOS Digite: DIR \SCAM32.EXE /S/B SE O COMANDO ANTERIOR LISTAR O ARQUIVO SCAM32.EXE, CONTATE-NOS POIS PROVAVELMENTE H� CONTAMINA��O Digite: DIR \SCD.DLL /S/B SE O COMANDO ANTERIOR LISTAR O ARQUIVO SCD.DLL, CONTATE-NOS POIS PROVAVELMENTE H� CONTAMINA��O Digite: DIR \RUN32.EXE /S/B SE O COMANDO ANTERIOR LISTAR O ARQUIVO RUN32.EXE, CONTATE-NOS POIS PROVAVELMENTE H� CONTAMINA��O Digite: DIR \SIRCAM.SYS /S/B SE O COMANDO ANTERIOR LISTAR O ARQUIVO RUN32.EXE, CONTATE-NOS POIS PROVAVELMENTE H� CONTAMINA��O Outra forma de verificar a exist�ncia do v�rus �: INICIAR EXECUTAR Digite: REGEDIT OK LOCALIZAR Digite: SIRCAM LOCALIZAR PR�XIMA SE O COMANDO LOCALIZAR ALGUMA POSI��O, CONTATE-NOS POIS PROVAVELMENTE H� CONTAMINA��O Ainda voc� poder� verificar a situa��o da pasta: HKEY_CLASSES_ROOT\exefile\shell\open\command, APENAS DEVE EXISTIR O VALOR PADR�O "%1" %*, NESTE CASO N�O H� V�RUS O v�rus W32.Sircam est� tamb�m sendo chamado por: W32/Sircam-A, W32.Sircam.Worm@mm, W32/SirCam@mm ou Backdoor.SirCam.   Caso voc� tenha d�vidas a respeito, sinta-se a vontade por nos consultar.   Para solucionar, siga os passos contidos em nossa p�gina: www.mpsoft.com.br/removersircam.htm   E por fim, lembre-se: Tenha um antiv�rus instalado em seu computador. Atualize, no m�nimo, uma vez por semana seu a lista de novos v�rus de seu antiv�rus. Se voc� trabalha com um conex�o de Internet tipo cable modem, tenha um firewall instalado. Jamais abra arquivos anexados de mensagens de desconhecidos. Antes de abrir arquivos anexados de pessoas conhecidas, certifique que elas foram realmente enviadas por estes. Cordialmente,   Eng. Marcelo Neubauer da Costa www.mpsoft.com.br     Refer�ncias das informa��es acima: http://www2.uol.com.br/info/aberto/infonews/072001/19072001-18.shl http://www2.uol.com.br/info/aberto/infonews/072001/18072001-25.shl http://www.sophos.com/downloads/ide/ http://www.sophos.com/virusinfo/analyses/w32sircama.html http://www.securityfocus.com/templates/headline.html?id=12039 http://www.securityfocus.com/templates/headline.html?id=12033 http://www.nwfusion.com/news/2001/0719sircam.html http://service.pandasoftware.es/library/card.jsp?Virus=W32/Sircam http://vil.nai.com/vil/virusSummary.asp?virus_k=99141 http:[EMAIL PROTECTED] http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_SIRCAM.A     Caso n�o queira mais receber mensagens a respeito de ALERTA SOBRE V�RUS, por gentileza, devolva-nos (RESPONDER ou REPLY) esta mensagem com assunto: REMOVER. Grato e escusas caso tenha havido algum incomodo.