Présentation du ver Sircam

Sircam (nom de code W32.Sircam.Worm@mm, Backdoor.SirCam ou Troj_Sircam.a) est un ver se propageant à l'aide du courrier électronique. Il affecte particulièrement les utilisateurs de Microsoft Outlook sous les systèmes d'exploitation Windows 95, 98, Millenium et 2000.

Les actions du ver

Le ver Sircam choisit aléatoirement un document (d'extension .gif, .jpg, .mpg, .jpeg, .mpeg, .mov, .pdf, .png, .ps ou .zip)se trouvant dans le répertoire c:\Mes Documents\ de l'ordinateur infecté, puis envoie automatiquement un courrier électronique dont le sujet est le nom de ce document, dont le corps du message est un des deux messages suivants :

• En anglais

"Hi! How are you?   
I send you this file in order to have your advice   
See you later. Thanks"

"Hi! How are you?   
I hope you can help me with this file that I send   
See you later. Thanks"

"Hi! How are you?   
I hope you like the file that I send to you   
See you later. Thanks"

• Ou en espagnol

"Hola como estas ?   
Te mando este archivo para que me des tu punto de vista   
Nos vemos pronto, gracias."

Le ver Sircam risque en outre de supprimer l'intégralité des fichiers de votre disque dur le 16 octobre de chaque année si votre ordinateur utilise un format de date à l'européenne (jour/mois/année).

Sircam ajoute également du texte au fichier c:\recycled\sircam.sys lors de chaque redémarrage de la machine, ce qui risque potentiellement de saturer l'espace disponible sur le lecteur C:\.

Symptômes de l'infection

Les machines infectées possèdent sur leur disque les fichiers :

• Sirc32.exe
• Sircam.sys
• Run32.exe

Pour vérifier si vous êtes infectés, procédez à une recherche des fichiers cités ci-dessus sur l'ensemble de vos disques durs (Démarrer / Rechercher / Fichiers ou Dossiers).

Eradiquer le ver

Pour éradiquer le ver Sircam, la meilleure méthode consiste à utiliser un antivirus récent ou bien le kit de désinfection proposé par Symantec :
Télécharger le kit de désinfection

Il vous est également possible de procéder à une désinfection manuelle en suivant la procédure suivante :

• Supprimer les fichiers Sirc32.exe et Sircam.sys
• Supprimer le fichier c:\windows\Runddl32.exe
• Renommer le fichier c:\windows\Run32.exe en c:\windows\Rundll32.exe
• Editer le fichier c:\autoexec.bat et supprimer la séquence suivante : @win \recycled\sirc32.exe
• Dans la base de registre (à éditer en exécutant c:\windows\regedit.exe)
  • Dans HKEY_CLASSES_ROOT/exefile/shell/open/command, modifier la chaîne de données (en double-cliquant sur Défaut) et entrer la chaîne suivante :

"%1" %*

• • Dans HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices, supprimer la clé Driver32=C:\WINDOWS\SYSTEM\SCam32.exe
  • Dans HKEY_LOCAL_MACHINE/Software, supprimer le dossier Sircam
• Redémarrer votre ordinateur

Plus d'informations sur le virus

• http://solutions.journaldunet.com/0107/010724_virus.shtml
• http://vil.nai.com/vil/dispVirus.asp?virus_k=99141
• http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_SIRCAM.A
• http://www.sophos.com/virusinfo/analyses/w32sircama.html