Если судить по собственному почтовому ящику, то распространение SirCam'а в России началось позавчера. Зараженные письма продолжают приходить и сейчас. Все они одинаковы своим текстом: Hi! How are you? I send you this file in order to have your advice See you later. Thanks К письму прикреплен файл с произвольным названием и двойным расширением (расширения тоже произвольные). Тема письма совпадает с названием прикрепленного файла.

Но, оказывается бывают и варианты. Во-первых бывают испаноязычные версии писем. Тогда первая строка гласит: "Hola como estas?", а последняя - "Nos vemos pronto, gracias.". Во второй строке, кроме уже упомянутых, могут быть следующие варианты фраз:

I hope you can help me with this file that I send I hope you like the file that I sendo you This is the file with the information that you ask for

То же самое, но в испанском исполнении выглядит так: Te mando este archivo para que me des tu punto de vista Espero me puedas ayudar con el archivo que te mando Espero te guste este archivo que te mando Este es el archivo con la informaciуn que me pediste

SirCam рассылает себя с зараженных компьютеров от имени их владельцев по всем адресам, найденным в адресной книге пользователя. По сообщению "Лаборатории Касперского", файл-носитель червя представляет собой Windows-приложение, размером около 130 Кб, написанное на языке программирования Delphi. В процессе распространения червь может прикреплять к своим файлам дополнительные файлы DOC, XLS, ZIP и других форматов, так что размер вложенного файла может превышать 130 Кбайт (обычно он составляет порядка 220 Кбайт). Эти дополнительные файлы червь берет из папки "Мои документы" на компьютере жертвы. То есть таким способом с компьютера может произойти еще и утечка конфиденциальной информации.

Червь начинает работу только после запуска на исполнение прикрепленного к письму файла. Помимо массовой рассылки своих копий червь может создавать файлы SCT1.DLL и SCY1.DLL в системной директории Windows, в которых хранит дополнительную служебную информацию. Червь также копирует свои файлы в следующие каталоги: RECYCLED и WINDOWS под именем SirC32.exe, в системный каталог Windows, в директорию Windows под именем ScMx32.exe и в каталог автоматического запуска Windows под именем "Microsoft Internet Office.exe. Все перечисленные файл имеют атрибут "Скрытый". Червь также создает дополнительный ключ "HKLMSOFTWARESirCam" в системном реестре Windows, где хранит свою служебную информацию.

Для распространения по локальной сети червь сканирует все доступные сетевые ресурсы (ищет доступные директории на удаленных компьютерах) и копирует туда свои файлы. В случае обнаружения на удаленном компьютере директории " ecycled", червь записывает себя в нее под именем SirC32.exe. После этого червь модифицирует файл AUTOEXEC.BAT, добавляя в него следующую команду: @win ecycledSirC32.exe

Если на компьютере имеется директория "Windows", то червь изменяет имя системного файла RUNDLL32.EXE на RUN32.EXE, а на место RUNDLL32.EXE записывает свою копию. Как указывалось выше, все копии червя имеют атрибут "Hidden" ("Скрытый").

В зависимости от текущей системной даты и времени, червь с вероятностью 5% удаляет все файлы и поддиректории в директории Windows.

При каждой загрузке операционной системы с вероятностью 2% червь создает файл SirCam.Sys в корневой директории текущего диска и записывает в него следующий текст:

[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX] [SirCam Version 1.0 Copyright c 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]

С каждым загрузкой червь добавляет этот файл, тем самым постепенно поглощая свободное место на диске.

Процедуры защиты от данного сетевого червя уже неделю как добавлены в базу данных "Антивируса Касперского". Их рекомендуется загрузить всем пользователям упомянутого продукта. Для пользователей других антивирусных программ "Лаборатория Касперского" разработала специальную программу обнаружения и полного удаления (включая восстановление поврежденного системного реестра Windows) вируса SirCam. Ее можно бесплатно загрузить по адресу ftp://ftp.kaspersky.com/utils/clrav.zip.