Virus Sircam:

En pocos días el virus ha pasado de ser considerado como de bajo riesgo a "muy peligroso"

Dicen que Internet encamina a la sociedad hacía la globalización. Aunque aún queda por aclarar si para muchos esta globalización no es más que una americanización (disculpen mis amigos latinoamericanos y centroamericanos que tienen tanto derecho como los de los EE.UU en utilizar este termino) global.

El pasado viernes abríamos nuestra edición con un sugestivo titular, "W32/SirCam ataca!. En ella nos hacíamos eco de un nuevo y poderoso virus que ya había conseguido atacar a más de 600 servidores, la mayoría de ellos en Europa y América Latina. Aunque desarrollado en México, parece que en un principio este virus fue mucho más prolijo en estas zonas que en los EE.UU.

Precisamente, las principales compañías desarrolladoras de productos antiviricos, radicadas, salvo la española Panda, en los EE.UU, consideraban de "bajo riesgo" al W32/Sircam.

Todo cambio radicalmente el pasado lunes. La vuelta al trabajo de los estadounidenses disparo la alarma en los departamentos de sistemas de multinacionales e instituciones. Estaban siendo atacados masivamente por correos procedentes de otros lugares y países, y sistema tras sistema, como una bola de nieve iba cayendo en la profusión de este virus.

La situación no podía ser más alarmante, en pocos días el W32/Sircom se situaba en la primera posición del ranking de virus y el número de maquinas/servidores infectados alcanzaba a los 20.000 en todo el mundo, aunque de ellos 12.000 correspondían a los EE.UU.

TrendMicro pasa ahora a calificar el virus como alto riesgo, F Secure elevo su nivel de alerta para máximo y Sophos distribuyo un comunicado alertando a sus usuarios de este peligroso gusano.

¿Que ha sucedido?
La mayoría de estas compañías ya conocían el posible peligro de este gusano, aunque al no afectar a los principales sistemas estaban totalmente convencidas de que su impacto se iría reduciendo poco a poco como sucedió con "I Love You", "Homepage" o "Anna Kournikova". Todos ellos atacaran a un gran número de servidores durante los primeros días, aunque su fuerza decayó en apenas una semana.

El sistema de distribución de este virus mostró las flaquezas de un sistema centralizado y organizado a través de grandes multinacionales radicadas en los EE.UU... Si el impacto de los virus mencionados decayó en una semana fue precisamente porque al afectar en primer lugar a los EE.UU, saltaron las alarmas, sobre su peligrosidad. Además la bola de nieve se iniciaba en ese país, distribuyendo de forma desorganizada hacía otros lugares. Cuando el virus volvía a los lugares de origen se encontraba con sistemas ya plenamente reforzados para evitar su acción.

La distinta distribución de este virus fue todo lo contraria. Se inició en América Latina, expandiéndose hacía España y Europa. Nadie, salvo Noticias.com y la empresa española Panda, alerto de su importancia la pasada semana, por lo que pudo infectar a miles de ordenadores, antes de llegar a los EE.UU con equipos desprotegidos que volvieron a remitirlos a otros lugares. Y así hasta el infinito.

Bloqueo de servidores
Uno de los graves peligros de este virus es el bloqueo que produce de los servidores de correo. Por poner un ejemplo, la compañía especializada en MessageLabs detectaba el 23 de este mes y en menos de 24 horas, 6939 correos electrónicos que incluían el virus.


Copias interceptadas: 6939
Diferentes direcciones: 2816
Mismo Dominio: 1629
Dominios de primer nivel afectados: 787

Aunque, por supuesto, dos riesgos se unían a esta proliferación de mensajes. El primero que muchos mensajes incluyen, junto al virus, información totalmente confidencial. El segundo, el tamaño de los ficheros anexados: Más de la mitad de más de 60 KS y algunos de ellos alcanzando la friolera de más de 100 MBs.

Expertos en este terreno esperan que el virus vaya perdiendo fuerza durante los próximos días, una vez los usuarios hayan tomado todo tipo de precauciones y hagan caso, ahora sí, a unas compañías que olvidaron la globalidad de la red.

El virus volverá el 16 de octubre

Según declaraciones de la compañía de seguridad Panda Software, el 16 de octubre del 2002, Sircam se reactivará, y en un ordenador infectado con el virus, cada vez que se ejecute un fichero existe una probabilidad de 1 sobre 20 de que el virus actúe e intente borrar toda la información del disco duro.
 

Características del Virus:

Cuerpo del mensaje

Hola como estas ?
Te mando este archivo para que me des tu punto de vista
Nos vemos pronto, gracias.

Puede que el cuerpo del mensaje esté en inglés, en ese caso sería:

Hi! How are you?
I send you this file in order to have your advice
See you later.
Thanks

Cuando un usuario recibe este email e intenta abrir el archivo adosado, automáticamente se infecta la PC y el virus se reenvía a todos sus contactos. El virus se copia a sí mismo en la carpeta Recycled del disco rígido y modifica el registro de Windows para que se ejecute el virus cada vez que se quiere abrir un programa.

Lo increíble de este virus es que las empresas de seguridad informática no terminan de ponerse de acuerdo sobre cosas tan básicas como su origen, sobre sus consecuencias o sobre la familia de virus a la que pertenece.

Según un relevamiento realizado por Wired News, esta es la información brindada por las diferentes empresas de seguridad.

Panda Software: Sostiene que se trata de un virus destructivo que satura de capacidad el disco rígido.
Network Associates: Un ejecutivo de la empresa declaró a Wired que el virus renombra los documentos que contienen imágenes o fragmentos de video. También sostuvo que el virus fue creado en Rusia.
Trend Micro: Para ellos, y siempre según Wired, el cirus no es destructivo.
Symantec: El virus infecta la PC según la forma en que esta muestre la fecha.

COMO ELIMINARLO