Il SIRCAM è un VIRUS worm che si trasmette via e-mail, e infetta tutti i contatti presenti in rubrica. SirCam, si copia in Scam32.exe e sirc32.exe, si sposta nel cestino con gli attributi nascosti. Sostituisce il rundll32.exe (rinominando l’originale in run32.exe) e aggiunge questa linea:
@win nell’AUTOEXEC.BAT.
Si carica da solo all’avvio, tramite la seguente key del registro di windows: HKEY_LOCAL_MACHINE
Il Sircam modifica inoltre la seguente chaive di registro: HKEY_CLASSES_ROOT .
Quando entra in azione, cancella un po di roba e trasmette via e-mail i dati confidenziali, unitamente ad un allegato “infetto”, a tutti gli indirizzi in rubrica.
Procedura per eliminare il SIRCAM
1 Operazioni preliminari
1.1 – Chiudere il collegamento internet (se attivo).
1.2 – Rinominare REGEDIT.EXE in REGEDIT.COM.
(questa modifica non permette al virus di “difendersi” dalle modifiche che apporteremo in seguito al registro di Windows)
2 Agire sul Registro di Windows
2.1 – Avviate REGEDIT (da Start=>Esegui).
2.2 – Portatevi sulla seguente Chiave di registro:
HKEY_LOCAL_MACHINE2.3 – Cercate ed ELIMINATE (sulla finestra di destra) la chiave:
Driver32
2.4 – Portatevi quindi sulla seguente chiave ed ELIMINATELA:
HKEY_LOCAL_MACHINE
2.5 – Portatevi ora sulla seguente chiave:
HKEY_CLASSES_ROOT le
2.6 – Qui troverete all’interno della voce (DEFAULT) la seguente stringa:
“C:
2.6 – Modificate questa stringa come segue (eliminando il link a SirC32):
“%1″%*
3 Rimozione dei Virus file
3.1 – Portatevi all’interno della cartella di sistema “C: ” (o C: ) e togliere tutte le protezioni dal file del virus, con il seguente comando DOS:
ATTRIB -r -h -s SCAM32.EXE
3.2 – ELIMINATE il file con il seguente comando DOS:
DEL SCAM32.EXE
3.3 – Portatevi all’interno della cartella del Cestino “C: ” e togliere tutte le protezioni dal file del virus, con il seguente comando DOS:
ATTRIB -r -h -s SIRC32.EXE
3.4 – ELIMINATE il file con il seguente comando DOS:
DEL SIRC32.EXE
4 Ripristino di RUNDLL32.EXE
4.1 – Portatevi all’interno della cartella di Windows “C: ” e cercate il file RUN32.EXE
4.2 – Se trovate il file, vuol dire che il virus ha ricreato il file Rundll32.exe rinominando l’originale in Run32.exe.
4.3 – ELIMINATE quindi il file RUNDLL32.EXE e RINOMINATE il file RUN32.EXE in RUNDLL32.EXE.
5 Normalizzare l’AUTOEXEC.BAT
5.1 – Aprite il file AUTOEXEC.BAT con NOTEPAD.
5.2 – Cercate ed ELIMINATE la seguente riga:
@win Ecco Fatto!! Riavviate il sistema…. Il SIRCAM è stato completamente rimosso dal vostro PC.
