[Asp10.net] =?iso-8859-1?Q?V=EDrus_SIRCAM?=

Fri, 27 Jul 2001 17:42:33 -0700

Abaixo, segue uma descri��o deste malfadado v�rus, e os procedimentos para descobri-lo e dete-lo.
 
A dica veio quente do BOL. Passem adiante.
 
Benjamin
 
Ol�,

A Equipe do BOL est� sempre atenta � sua seguran�a ao usar nossos servi�os. Neste boletim, vamos trazer informa��es sobre o v�rus Sircam.


Usu�rios do BOL est�o livres do v�rus Sircam


   
Veja se seu computador foi infectado:

Abra o prompt do DOS

Digite: DIR \SCAM32.EXE /S/B
Se o arquivo SCAM32.EXE
for listado, provavelmente h� contamina��o

Digite: DIR \SCD.DLL /S/B
Se o arquivo SCD.DLL for listado, provavelmente h� contamina��o

Digite: DIR \RUN32.EXE /S/B
Se o arquivo RUN32.EXE for listado, provavelmente h� contamina��o

Digite: DIR \SIRCAM.SYS /S/B
Se o arquivo SIRCAM.SYS for listado, provavelmente h� contamina��o

ou

Clique em "Iniciar"
Clique em "Executar"
Digite: REGEDIT
Clique em "OK"
Clique em "Editar"
Clique em "Localizar"
Digite: SIRCAM
Clique em "Localizar Pr�xima"
Se o comando localizar alguma pasta, provavelmente h� contamina��o

Voc� ainda poder� verificar a situa��o da pasta:
HKEY_CLASSES_ROOT\ exefile\shell\open\ command,

Deve existir apenas o valor padr�o "%1" %*, neste caso n�o h� v�rus

Dicas para ficar longe dos v�rus:
  • Tenha sempre um antiv�rus instalado em
    seu computador
  • Atualize, no m�nimo,
    uma vez por semana seu antiv�rus
  • Se voc� trabalha com conex�o de Internet tipo cable modem ou ADSL, tenha um firewall instalado
  • Jamais abra arquivos anexados de mensagens de desconhecidos
  • Antes de abrir arquivos anexados de pessoas conhecidas, certifique-se da origem da mensagem e de que seu antiv�rus esteja atualizado e ativo
    •  

    O BOL est� filtrando todas as mensagens que passam por seus servidores desde o dia 25 de julho para que nossos usu�rios n�o recebam
    e-mails infectados com esse v�rus.

    Todas as mensagens suspeitas de conter o Sircam s�o eliminadas.

    Descoberto no dia 17 de julho, o v�rus Sircam � considerado o mais perigoso desde o LoveLetter, e se dissemina com a mesma velocidade espantosa.

    As v�timas preferenciais dessa praga s�o os usu�rios dos programas de leitura de e-mail Outlook Express e Microsoft Outlook.

    Usu�rios de webmail, como o BOL, n�o correm tanto risco, mas precisam se precaver. A ordem � n�o abrir anexos de mensagens de remetentes desconhecidos e tomar muito cuidado com e-mails de conhecidos, pois o v�rus se propaga usando a lista de endere�os das v�timas.

    Este v�rus chega num arquivo anexo a um e-mail cuja mensagem � escrita em ingl�s ou espanhol:

    Ingl�s: Hi! How are you?

    I send you this file in order to have your advice.

    ou I hope you can help me with this file that I send

    ou I hope you like the file that I sendo you

    ou This is the file with the information that you ask for

    See you later. Thanks

    Espanhol: Hola como estas?

    Te mando este archivo para que me des tu punto de vista.

    ou Espero me puedas ayudar con el archivo que te mando

    ou Espero te guste este archivo que te mando

    ou Este es el archivo con la informaci�n que me pediste

    Nos vemos pronto, gracias.

      Vers�es em portugu�s desta mensagem seriam assim:

    "Ol�, como vai? Envio-lhe este arquivo para obter seu conselho".

    "Espero que voc� possa me ajudar com este arquivo".

    "Este � o arquivo com a informa��o que voc� pediu".

    Como a mensagem geralmente � de um remetente conhecido, a nova v�tima executa o arquivo anexo e infecta a pr�pria m�quina.

    A partir desse momento, o v�rus come�a a trabalhar, e faz diversas altera��es: se copia no diret�rio do sistema com o nome Scam32.exe e armazena o arquivo original na lixeira. �s vezes tamb�m � criado o arquivo Scd.dll no mesmo diret�rio. E em alguns casos, ocupa o lugar do arquivo Rundll32.exe, do Windows, renomeando o mesmo para Run32.exe.

    O Sircam se auto-envia a toda a lista de contatos do Outlook, anexando � mensagem um documento da pasta "Meus Documentos" do Windows. Portanto, o arquivo anexo � mensagem � um execut�vel do v�rus com o documento roubado, e usa duas extens�es: a do documento (DOC, XLS ou MPG) seguida de BAT, COM, EXE, LNK ou PIF. Se o anexo for executado, o v�rus vai reconstituir o documento (texto ou planilha) e o execut�vel (v�rus).

    Segundo a Symantec, fabricante do Norton Antiv�rus, h� 5% de chances do v�rus marcar a data de 16 de outubro de qualquer ano para apagar todo o conte�do do drive C, geralmente usado como disco r�gido. Isso acontece nas m�quinas cujas datas do Windows estejam configuradas para o padr�o dia/m�s/ano.

    O v�rus Sircam est� tamb�m sendo chamado como W32.Sircam, W32/Sircam-A, W32.Sircam.Worm@mm, W32/Sircam@mm ou Backdoor.Sircam.

    Veja como se livrar do v�rus:

    Se voc� tiver um antiv�rus instalado e atualizado, acione o programa, que deve encontrar e eliminar o v�rus.

    Sua m�quina n�o tem antiv�rus?

    Ent�o voc� deve usar a ferramenta gratuita "FixTool", da Symantec. Este pequeno aplicativo (68 KB) vasculha o sistema � ca�a de sinais de infec��o pelo Sircam e os conserta.

    Para copiar o FixTool, clique aqui. Salve o aplicativo em um diret�rio (exemplo: o Desktop) e execute. Caso o Sircam seja encontrado no sistema, ele ser� eliminado. Feito o servi�o, basta reiniciar o micro.

    Se voc� sabe mexer no Registro do Windows (apenas usu�rios avan�ados, pois um erro pode comprometer o funcionamento do sistema), veja como fazer:

  • Clique em "Iniciar" e depois, em "Executar".
  • Na janela que vai abrir, digite regedit.
  • Na janela do Editor de Registro, clique na pasta HKEY_LOCAL_MACHINE.
  • Procure pela pasta "Software". Encontre a pasta "Sircam" e apague-a.
  • Ainda em "Software", procure as pastas "Microsoft", depois "Windows", "CurrentVersion" e, finalmente, "RunServices".
  • Apague o valor "Driver32", na janela da direita.
  • Agora v� at� a pasta HKEY_CLASSES_ROOT
  • Localize as pastas "exefile", "shell", "open" e "command", nessa ordem.
  • Selecione o valor Padr�o (Default). Clique com o bot�o direito sobre ele e escolha "Modificar". Troque o texto "C:\recycled\SirC32.exe" "%1"%* por "%1" %*. Dica: copie e cole o texto, para diminuir a chance de erro.
  • Abra o arquivo C:\autoexec.bat no bloco de notas
  • Apague a express�o @win \recycled\sirc32.exe

    Pronto, o Sircam foi eliminado de seu micro. Reinicie o sistema.

    Leia mais sobre v�rus e outras amea�as no pitBOL

    •  
     

    Lembre-se de que a equipe do BOL est� sempre � sua disposi��o para ajud�-lo no que for preciso.

    � muito bom ter voc� conosco,

    Equipe do Brasil Online



    http://www.asp10.net
    ==========================================
    Solu��es simples para problemas complexos
    ==========================================


    Grupos.com.br
    p�gina do grupo diret�rio de grupos diret�rio de pessoas cancelar assinatura

    Responder a