W32.Sircam.Worm@mm, W32/SirCam@mm,BackDoor.SirCam.188, W32.SirCam@MM,

Los días 17 y 18 de Julio del 2001 se reportaron en muchos países, principalmente en aquellos de habla hispana, un gusano, aparentemente creado en México, difundido a través de mensajes de correo electrónico, vía Internet, conteniendo archivos anexados de diferentes nombres aleatorios, con una rápida capacidad de propagación masiva, ya que infecta todos los sistemas operativos de Microsoft Windows 95/98/NT/2000/Me, bajo el siguiente formato:

El texto también puede ser enviado en idioma inglés:

El archivo anexado es elegido en forma aleatoria y tiene la particularidad de contar con doble extensión:

Ejemplo: documento.doc.pif

Cuando se ejecuta el archivo anexado al mensaje, el gusano se auto-copia al directorio C:\WINDOWS\SYSTEM con el nombre de SCAM32.EXE y al directorio C:\RECYCLED  ("Papelera de Reciclaje") con el nombre SIRC32.EXE. Este último archivo tiene el atributo de "oculto" para que no pueda ser visualizado desde el Explorador de Windows, en el caso de no tener activada la opción "Ver archivos ocultos o del sistema".

Luego modifica el registro de Windows para que el archivo sea ejecutado la próxima vez se inicie el sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Driver32 = C:\WINDOWS\SYSTEM\SCam32.exe

Adicionalmente, modifica la llave del registro de Windows:

HKLM\SOFTWARE\Classes\exefile\shell\open\command

Esta modificación le permitirá activarse cada vez que se trate de ejecutar un archivo de extensión EXE. Este método fue también utilizado anteriormente y en forma exitosa por el gusano NAVIDAD, lo cual dificulta aún más su remoción del sistema.

Inmediatamente después, SIRCAM busca en la carpeta C:\MIS DOCUMENTOS del sistema infectado, todos los archivos con las siguientes extensiones:

DOC
GIF
JPG
JPEG
MPEG
MOV
MPG
PDF
PIF
PNG
PS
ZIP

Los cuales graba en un archivo llamado SCD.DLL, creado en el directorio C:\WINDOWS\SYSTEM, cuyas extensiones serán usadas en primer lugar, en forma aleatoria. 

Asimismo guarda las direcciones de correo obtenidas de las Libretas de Direcciones y de los archivos temporales de Internet, en otro archivo llamado SCD1.DLL, el cual también es creado en el directorio C:\WINDOWS\SYSTEM.

El gusano se agrega al principio de los archivos listados en el archivo SCD.DLL, auto-enviándose en mensajes de correo, con un archivo anexado que también tendrán doble extensión: la del archivo original y la extensión aleatoria, más una de las siguientes extensiones:

BAT
COM
EXE
PIF
LNK

Finalmente el gusano buscará en las estaciones de trabajo de la red de computadoras con recursos compartidos, e intentará auto-copiarse dentro del directorio C:\WINDOWS de cada computador remoto, bajo el nombre RUNDLL32.EXE. Para realizar esta acción, en primer lugar renombra el archivo rundll32.exe original como RUN32.EXE, e inmediatamente crea un falso archivo RUNDLL32.EXE. 

Si logra auto-copiarse con éxito, el gusano  modifica el archivo AUTOEXEC.BAT agregándole una línea con el falso archivo, que obliga al sistema a ejecutar los códigos virales del gusano:

C:\WINDOWS\RUNDLL32.EXE

Este gusano usa sus propias rutinas SMTP (Simple Mail Transfer Protocol) y MIME (Multipurpose Internet Mail Extension), para  simular un mensaje y auto-enviarse a todos los buzones de correo de la Libreta de Direcciones de Windows, así como a las direcciones encontradas en el directorio de Archivos Temporales de Internet.