La copia de sí mismo que instala en el sistema debe contener la cadena "FA2", seguida de algo que no sea "SC"  
  
  
Descripción breve: 

          W32/Sircam es un gusano que se propaga a través del correo electrónico enviándose a los contactos de la libreta de direcciones de Outlook, así como a otras direcciones que obtiene del sistema afectado. El gusano escoge un fichero del equipo afectado para enviarse a sí mismo y le añade otra extensión. De este modo, el  fichero adjunto aparecerá con doble extensión. 

          Una vez que el gusano se ha instalado en el sistema, modifica el registro de Windows para asegurar su presencia cada vez que se ejecute un archivo con extensión EXE. 

          El virus estaba diseñado para que el 16 de octubre y una de cada 20 veces que se ejecutase, borrase toda la información del disco duro. Sin embargo, esto no llega a producirse debido a un error de programación detectado en su código. No obstante, W32/Sircam sí que borrará los directorios del disco duro en caso de que la copia de sí mismo que instala en el sistema contenga la cadena FA2 seguida de algo que no sea SC. Una vez ocurrido esto, 1 de cada 50 veces el gusano creará un fichero de nombre SIRCAM.SYS y comenzará a escribir texto en él hasta agotar todo el espacio disponible en el disco duro. El texto que utiliza es una de las dos frases que hacen referencia al Copyright del virus. En caso se no ejecutar su payload, el virus no creará el fichero SIRCAM.SYS. 

          Es importante destacar que W32/Sircam sólo infecta sistemas cuya fecha del sistema sea de la forma D/M/A.  

          Por último, al llegar a 8000 ejecuciones dejará de ejecutarse. 
  
  
Modo de propagación: 
  
          Este gusano utiliza el correo electrónico para enviarse a los contactos que se encuentren en la libreta de direcciones de Outlook. El texto de los mensajes enviados es una combinación de varios textos: 

          - En la primera línea podemos ver la siguiente frase: Hola como estas ? 
          - El texto intermedio es el siguiente: 
                    "Te mando este archivo para que me des tu punto de vista 
                     Espero me puedas ayudar con el archivo que te mando 
                     Espero te guste este archivo que te mando 
                     Este es el archivo con la informacion que me pediste" 
          - Por último la última línea del texto es la siguiente: Nos vemos pronto, gracias. 
  
          El fichero adjunto al mensaje tendrá doble extensión. En concreto, el gusano escoge un fichero del equipo afectado al que añade una segunda extensión. De este modo, el fichero adjunto aparecerá con extensión doble. 
  
          Este virus también es capaz de propagarse a través de redes de ordenadores. 
  
          Además de a las direcciones de la libreta de Outlook, W32/Sircam busca otras direcciones a las que enviarse en ficheros con las siguientes extensiones. El gusano guarda estas direcciones en los siguientes ficheros: 

sho*.    (en scy1.dll) 
get*.    (en sch1.dll) 
hot*.    (en sch1.dll) 
*.htm   (en sci1.dll y sct.dll) 
*.doc   (en scd.dll) 
*.xls     (en scd.dll) 
*.zip     (en scd.dll) 
*.wab   (en scw.dll)

          Cuando W32/Sircam es ejecutado, crea dos copias ocultas de sí mismo en el directorio C:\Recycled. La primera de ellas llevará el nombre del fichero adjunto en el mensaje, pero eliminando la extensión añadida por el gusano. La segunda de ellas llevará por nombre SIRC32.EXE 

          Por otra parte, el gusano se copia a sí mismo en el directorio del sistema de Windows con el siguiente nombre SCAM32.EXE. Las copias que el gusano hace de sí mismo contienen unos datos que luego éste utilizará para sus propósitos. Estos datos están almacenados detrás de una cadena que empieza por FA y a la que sigue un número que corresponde con cierta información que W32/Sircam conoce. 

          Adicionalmente, en ciertas ocasiones el gusano creará un fichero llamado SYRCAM.SYS en el directorio RECYCLED y escribirá texto en él hasta ocupar todo el espacio disponible en el disco duro (en Windows NT es posible que este directorio no esté situado en la unidad C:\). 
  
  
Métodos de infección: 
  
          Una vez se ha copiado a sí mismo en el directorio C:\Recycled, el gusano modifica la siguiente entrada del registro: 

HKEY_CLASSES_ROOT\exefile\shell\open\command\Default 
poniéndole de valor: "C:\recycled\SirC32.exe" "%1" %*" 

          A partir de este momento el gusano se activará al ejecutar cualquier fichero con extensión EXE. 

          Por otra parte, crea una entrada de registro que utiliza para ejecutarse posteriormente: 

HKEY_LOCAL_MACHINE\Software\Mocrosoft\Windows\CurrentVersion\RunServices\Drivers32= c:\windows\system\Scam32.exe 

          Es importante destacar que el directorio será la carpeta de instalación de Windows, por defecto c:\Windows. 

          Adicionalmente, crea una última entrada dónde guarda datos: 

HKEY_LOCAL_MACHINE\Software\Sircam 

          El gusano escoge un fichero del equipo afectado para enviarse a sí mismo. Se copia al principio del fichero seleccionado y le añade al final una sergund extensión.  De este modo el fichero enviado será diferente en cada ocasión y tendrá doble extensión. 

          Finalmente, el gusano crea una serie de ficheros ocultos en el directorio de sistema. Uno de estos ficheros es SCD.DLL, que se usa para guardar una lista con varios archivos del directorio C:\My Documents. Los demás son ficheros con la forma SCX1.DLL (donde X puede ser Y, H, I, T) utilizados para almacenar la lista de correo a la que se envía. 
  
          El código del gusano contiene el siguiente texto de copyright indicando la supuesta procedencia del gusano: 
  
SirCam_2rP_Eim_NoC_Rma_CniTzeO_MicH_MeX] 
[SirCam Version 1.0 Copyright. 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico] 
  
  
Cómo reparar los efectos producidos: 
  
          W32/Sircam, además de infectar y realizar sus acciones dañinas, también realiza modificaciones en la configuración del ordenador. Éstas, entre otras, afectan a las entradas en el Registro de Windows. 
  
          Panda Software cuenta con una herramienta que permite solucionar este problema y restablecer los valores originales y correctos de la configuración: PQREMOVE. Desde esta página podrá descargar dicha herramienta. 
  
          Descargue el fichero PQREMOVE.COM (1Mb.) y guárdelo en el directorio que usted desee (puede descargarlo, pinchando sobre las siguientes direcciones). 

          Web de Panda:  updates.pandasoftware.com/pqremove
          R.e I.C.A.Z.:  PqRemove.Com 

          En ocasiones, W32/Sircam hace imposible la ejecución de archivos con extensión .EXE. Esto quiere decir, que no se podrán ejecutar muchos de los programas que tenemos instalados en nuestro ordenador (incluido el antivirus). Por este motivo, tampoco será posible acceder a Internet y descargarse la herramienta PQREMOVE. Si éste es su caso, le recomendamos descargarlo desde otro ordenador, copiarlo en un disquete y llevarlo al ordenador afectado para ejecutarlo allí. 
  
          Una solución alternativa (aunque la más aconsejable es la comentada en el párrafo anterior) para poder conectarse a Internet y descargar el PQREMOVE, es la siguiente: 
  
          Haga una copia desde MS-DOS del archivo REGEDIT.EXE, con el nombre REGEDIT.COM. Para ello, siga las siguientes instrucciones: 

          Pulse el botón Inicio, que se encuentra en la barra de tareas de Windows. 

          Seleccione el grupo opción Programas. 

          Pulse sobre la opción MS-DOS (en Windows 95/98), o Interfaz de comandos (en Windows NT). Esto abre una ventana de MS-DOS. 

          Una vez allí, acceda al directorio donde tiene instalado Windows (normalmente C:\WINDOWS para Windows 95/98 y C:\WINNT para Windows NT). Por ejemplo, si usted tiene Windows 95 o Windows 98, su directorio debería ser WINDOWS. Entonces escriba lo siguiente y pulse intro (enter): 
                    CD 
                    C:\WINDOWS. 
                    Escriba COPY REGEDIT.EXE REGEDIT.COM, y pulse intro. 
                    Cierre la ventana de MS-DOS, escribiendo EXIT y pulsando intro. 

          Acceda al Registro de Windows, del siguiente modo: 
                    Pulse el botón Inicio de Windows. 
                    Seleccione la opción Ejecutar... 
                    Escriba REGEDIT.COM y pulse el botón Aceptar. 

          Siga los siguientes pasos para localizar una determinada entrada en el Registro:  

• Pulse sobre el signo + de la carpeta HKEY_CLASSES_ROOT. 
• Pulse sobre el signo + de la subcarpeta exefile. 
• Pulse sobre el signo + de la subcarpeta shell. 
• Pulse sobre el signo + de la subcarpeta open. 
• Seleccione la subcarpeta command. 
• Cuando se haya colocado en la carpeta command, debe modificar el valor. A la derecha, tendrá como valor "C:\recycled\SirC32.exe" "%1"%*.
• En la sección derecha de la ventana, seleccione el texto (Predeterminado).
• Seleccione el menú Edición - Modificar.
• En la sección Información del valor: Borre el valor "C:\recycled\SirC32.exe" "%1"%* y escriba en su lugar el valor "%1" %* (incluidos los espacios en blanco que debe ir entre la última comilla y el segundo %).
• Pulse el botón Aceptar.

          Borre el archivo REGEDIT.COM, mediante los siguientes pasos:  

• Pulse el botón Inicio, que se encuentra en la barra de tareas de Windows.
• Seleccione el grupo opción Programas. 
• Pulse sobre la opción MS-DOS (en Windows 95/98), o Interfaz de comandos (en Windows NT). Esto abre una ventana de MS-DOS.
• Una vez allí, acceda al directorio donde tiene instalado Windows (C:\WINDOWS para Windows 95/98 y C:\WINNT para Windows NT). Por ejemplo, si usted tiene Windows 95 o Windows 98, su directorio debería ser WINDOWS. Entonces escriba lo siguiente y pulse intro (enter):
• CD
• C:\WINDOWS
• Escriba DEL REGEDIT.COM y pulse intro
• Escriba EXIT y pulse INTRO