Várias empresas antivírus estão alertando para o surgimento de uma nova praga virtual que tem infectado muitos computadores. Trata-se do W32/SirCam que, a exemplo do Magistr, possui sua própria rotina de propagação por mensagens eletrônicas e tem a capacidade de roubar e enviar arquivos do usuário cujo PC foi contaminado.A Symantec, que afirma ter recebido várias amostras do vírus de usuários corporativos, descreve que o SirCam pode chegar como uma mensagem de e-mail em espanhol ou em inglês. O assunto da mensagem varia e assume o nome do arquivo que o vírus anexou para se enviar. O corpo da mensagem também pode variar, mas sempre terá as seguintes linhas iniciais e finais:
Em espanhol:
Linha inicial: Hola como estas?
Linha final: Nos vemos pronto, gracias.
Em inglês:
Linha inicial: Hi! How are you?
Linha final: See you later. Thanks
Entre estas duas linhas, a mensagem pode conter:
Em espanhol:
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste
Em inglês:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send you
This is the file with the information that you ask for
Para enviar a si mesmo, o SirCam usa os endereços de e-mail do catálogo do Windows e das páginas Web armazenadas nas pastas de arquivos temporários (cache). Quando executado, ele se esconde na pasta oculta C:\RECYCLED com o nome SirC32.exe.
Também modifica o registro do Windows, de modo a ser carregado toda vez que um arquivo executável é rodado. Isto faz com que o vírus infecte o arquivo executável e dificulta sua remoção do sistema. Além disso, o vírus faz uma cópia de si mesmo para a pasta Windows\System com o nome Scam32.exe e cria uma chave no registro para ser carregado automaticamente.
Segundo a McAfee, o SirCam cria dois arquivos no diretório System. Um deles é chamado de SCD1.DLL e serve para reunir os endereços que serão usados para que o vírus seja enviado. O outro é chamado de SCD.DLL e serve para construir uma lista dos arquivos encontrados na pasta Meus Documentos.
Estes arquivos possuem a extensão .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PIF, .PNG, .PS e .ZIP e são enviados para outros usuários junto com o vírus. O SirCam acrescenta uma cópia dos arquivos ao seu código e anexa esta cópia à mensagem, usando uma segunda extensão, que pode ser .BAT, .COM, .EXE e .LNK.
Por exemplo: o vírus poderia ser enviado como um arquivo chamado Foto.JPG. A mensagem teria a palavra "Foto" na linha de assunto e o arquivo anexado poderia ser Foto.JPG.EXE, sendo que esta segunda extensão fica oculta na configuração padrão do Windows.
A Symantec informa que o vírus foi descoberto ontem (dia 17) e que ainda o está analisando. Novas informações estarão disponíveis nas próximas horas. Por enquanto, a empresa classifica o SirCam como de alto poder de distribuição e risco 3, em uma tabela que vai até 5.
A MCAfee o classifica como de médio risco e a F-Secure o coloca em nível de alerta 2, usado para ameaças potencialmente perigosas. O site uruguaio Video Soft também afirma que recebeu numerosos casos de usuários de língua espanhola infectados pelo vírus, nas últimas horas.