VIRUS W32/Sircam
Última hora sobre la infección por el virus W32/Sircam Oxygen3 24h-365d, por Panda
Software
(http://www.pandasoftware.es)
Madrid, 20 de julio, 2001 -- Ante las numerosas incidencias recibidas por el servicio
de soporte técnico de Panda Software, causadas por el virus W32/Sircam, recomendamos a
los usuarios que sigan estas instrucciones:
En el caso de que el ordenador no haya quedado bloqueado por la acción del virus puede
descargarse la utilidad PQREMOVE desde la página web de
Panda Software (http://www.pandasoftware.es).
Si el usuario no puede acceder normalmente a su sistema, siga los
siguientes pasos:
1. Desde el escritorio, pinchar en Inicio, Ejecutar, escribir
"command.com" y pinchar en aceptar.
2. Escribir "cd\windows" y pulsar Enter. ("cd\winnt" en el caso de
sistemas NT o 2000)
3. Escribir "copy regedit.exe regedit.com" y pulsar Enter
4. Escribir "regedit.com" y pulsar Enter.
4. Navegar a HKEY_CLASSES_ROOT\Exefile\Shell\open\command
5. Encontrará una clave llamada "Predeterminado" con el siguiente valor:
"C:\recycled\Sirc32.exe" "%1" %*
6. Hacer dos clicks en la entrada y borrar la primera parte para que
quede de la siguiente manera:
"%1" %*
7. Pinchar en "Aceptar" y cerrar el Editor del Registro.
8. Reiniciar la máquina.
Una vez realizados estos cambios y reiniciada la máquina, descargue el
fichero http://www.pandasoftware.es/enciclopedia/pqremove.com y
ejecútelo.
Recordamos que W32/Sircam es un gusano de correo electrónico que tiene la capacidad de
enviarse a todos los contactos de la libreta de direcciones de Outlook, por lo que
su propagación se produce muy rápidamente. Hasta el momento el Soporte Técnico de
Panda Software ha
recibido varias incidencias de usuarios cuyos equipos han sido infectados por parte
de este código malicioso.
El gusano llega en un mensaje de correo electrónico, incluido en un fichero
adjunto.
En la primera línea del mensaje aparece el texto: ¿Hola como estas?.
El texto intermedio es variable, pudiendo leerse una de las siguientes
frases:
"Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la información que me pediste"
Finalmente puede leerse la frase: Nos vemos pronto gracias
El fichero adjunto, en el que llega incluido el virus, tiene doble
extensión. Una de ellas es tomada por el gusano desde el equipo
infectado, pudiendo ser la segunda cualquiera de las siguientes: .BAT,
.COM, .EXE o .LNK.
Por otra parte, W32/Sircam modifica el registro de Windows, de tal forma
que asegura su presencia en el equipo infectado cada vez que se ejecute
un archivo .EXE.
Panda Software ya ha puesto a disposición de sus usuarios la
correspondiente actualización, que puede ser descargada desde las
páginas web de la compañía (http://www.pandasoftware.es). Asimismo,
cualquier usuario que haya resultado infectado por W32/Sircam, puede
descargar gratuitamente la utilidad PQREMOVE, que lo eliminará por
completo del equipo.
Puede encontrarse información técnica mas detallada sobre W32/Sircam en
la Enciclopedia de Virus de Panda Software.
(*) NOTA: Debido al cliente de correo las direcciones pueden aparecer
cortadas. Si esto sucede, unificar cada URL en una línea (mediante
las opciones "cortar" y "pegar").
-------------------------------------------------------------
Puede darse de baja de Oxygen3 24h-365d de dos maneras diferentes:
A) Mandar a : [email protected]
mailto:[email protected]?body=subscribe%20oxygen3.es , un e-mail
con
eel siguiente texto en el cuerpo del mensaje:
unsubscribe oxygen3.es
B) Desde la página de Oxygen3.com. Para ello:
1) Vaya a la siguiente dirección: http://www.oxygen3.com
2) Una vez en la página, pinchar en la opción "Darse de baja".
3) Cuando se abre la página elegir el idioma en el que se recibe la noticia
("Español" o "English"), y después introducir el e-mail con el que
está
suscrito.
-------------------------------------------------------------