Virus - Sircam -

Présentation du virus Sircam




Le virus Sircam (nom de code W32.Sircam.Worm@mm, Backdoor.SirCam ou Troj_Sircam.a)
est un ver
se propageant à l'aide du courrier électronique.
Il affecte particulièrement les utilisateurs de Microsoft Outlook sous
les systèmes d'exploitation Windows 95, 98, Millenium et 2000.
Les actions du virus




Le ver Sircam choisit aléatoirement un document (d'extension .gif, .jpg, .mpg, .jpeg, .mpeg, .mov, .pdf, .png, .ps ou .zip)se trouvant dans le
répertoire c:\Mes Documents\ de l'ordinateur infecté, puis envoie automatiquement
un courrier électronique dont le sujet est le nom de ce document, dont le corps du message
est un des deux messages suivants :

• En anglais
  
  "Hi! How are you?
  I send you this file in order to have your advice
  See you later. Thanks"
  
  
  "Hi! How are you?
  I hope you can help me with this file that I send
  See you later. Thanks"
  
  
  "Hi! How are you?
  I hope you like the file that I send to you
  See you later. Thanks"
  
• Ou en espagnol
  
  "Hola como estas ?
  Te mando este archivo para que me des tu punto de vista
  Nos vemos pronto, gracias."
  

Le virus Sircam adjoint au message une copie de lui-même dont le nom est celui du fichier
récupéré sur le disque de l'utilisateur avec la double extension .vbs.


Le ver Sircam risque en outre de supprimer l'intégralité

des fichiers de votre disque dur le 16 octobre de chaque année si votre ordinateur
utilise un format de date à l'européenne (jour/mois/année).


Sircam ajoute également du texte au fichier c:\recycled\sircam.sys

lors de chaque redémarrage de la machine, ce qui risque potentiellement de saturer l'espace
disponible sur le lecteur C:\.

Symptomes de l'infection




Les machines infectées possèdent sur leur disque les fichiers :

• Sirc32.exe
  
• Sircam.sys
  
• Run32.exe
  

Pour vérifier si vous êtes infectés, procédez
à une recherche des fichiers cités ci-dessus sur l'ensemble de vos disques durs
(Démarrer / Rechercher / Fichiers ou Dossiers).

Eradiquer le virus




Pour éradiquer le ver Sircam, la meilleure méthode consiste à utiliser un antivirus
récent ou bien le kit de désinfection proposé par Symantec :


Télécharger le kit de désinfection



Il vous est également possible de procéder à une
désinfection manuelle en suivant la procédure suivante :

• Supprimer les fichiers Sirc32.exe et Sircam.sys
  
• Supprimer le fichier c:\windows\Runddl32.exe
  
• Renommer le fichier c:\windows\Run32.exe en c:\windows\Rundll32.exe
  
• Editer le fichier c:\autoexec.bat et supprimer la séquence suivante :
  @win \recycled\sirc32.exe
  
• Dans la base de registre (à éditer en exécutant c:\windows\regedit.exe)
  
  
  
  • Dans HKEY_CLASSES_ROOT/exefile/shell/open/command, modifier la chaîne de données
    (en double-cliquant sur Défaut) et entrer la chaîne suivante :
    
    "%1" %*
    
  • Dans HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices, supprimer la clé Driver32=C:\WINDOWS\SYSTEM\SCam32.exe
    
  • Dans HKEY_LOCAL_MACHINE/Software, supprimer le dossier Sircam
    
  
  


• Redémarrer votre ordinateur