DalÜφ roztomil² mazlφΦek se zaΦal Üφ°it vΦera rßno (naÜeho Φasu). Jde o cca 134kB bubmbrdlφΦka napsanΘho v Delphi.

Soud∞ dle zaÜifrovan²ch text∙ pochßzφ z Mexika:

   [SirCam Version 1.0 Copyright (c) 2001 2rP
   Made in / Hecho en - Cuitzeo, Michoacan Mexico]

Tento text mimochodem obsahuje i v pon∞kud "odtuΦn∞nΘ" verzi:

   [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

Posφlß se mailem, kter² mß jako subject jmΘno p°ilo₧enΘho souboru a jeho₧ text sestavuje z t∞chto v∞t:

   Hi! How are you?
   See you later. Thanks
   I send you this file in order to have your advice
   I hope you can help me with this file that I send
   I hope you like the file that I sendo you
   This is the file with the information that you ask for

Pokud mß u₧ivatel ve Windows jako preferovan² jazyk nastavenou Üpan∞lÜtinu, tak se tomu virus p°izp∙sobφ:

   Hola como estas ?
   Nos vemos pronto, gracias.
   Te mando este archivo para que me des tu punto de vista
   Espero me puedas ayudar con el archivo que te mando
   Espero te guste este archivo que te mando
   Este es el archivo con la informacion que me pediste

P°ilo₧en² soubor je vytvo°en z vlastnφho t∞la wormu, za kter²m je p°ipojen nßhodn∞ vybran² soubor (archφv, dokument, spustiteln² soubor) pochßzejφcφ z infikovanΘho poΦφtaΦe. P∙vodnφ jmΘno je zachovßno, worm si pouze p°ipojφ dalÜφ p°φponu (pif, lnk, bat nebo com).

Po spuÜt∞nφ se Sircam nakopφruje do n∞kolika r∙zn²ch adresß°∙ pod r∙zn²mi jmΘny:

   SirC32.exe, SCam32.exe, SirC32.exe, ScMx32.exe,
   Microsoft Internet Office.exe a rundll32.exe

PotΘ zrekonstruuje kopii dokumentu, pod jeho₧ jmΘnem dorazil a pokud jde o EXE file, tak ho rovnou spustφ (ve snaze neb²t p°φliÜ nßpadn²). Pro ostatnφ typy souboru se pokusφ v

HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\

najφt vhodnou aplikaci k otev°enφ: Winzip pro .ZIP soubory, Excel pro .XLS a WinWord (nebo alespo≥ WordPad) pro .DOC.

SvΘ pravidelnΘ spouÜt∞nφ p°i startu poΦφtaΦe se sna₧φ si zajistit zßpisem do hodnoty Driver32 klφΦe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

a modifikacφ klφΦe

HKCR\exefile\shell\open\command

(stejn² trik pou₧φvß nap°φklad I-Worm/PrettyPark).

Jako v∞tÜina nov∞jÜφch vir∙ se i tento umφ Üφ°it po sdφlen²ch discφch v rßmci lokßlnφ sφt∞. Na namapovan²ch discφch preferuje adresß°e \recycled a \windows a svΘ spouÜt∞nφ se pokusφ zajistit vlo₧enφm °ßdky @win a odkazem na virus do \autoexec.bat nebo tφm, ₧e zam∞nφ systΘmov² soubor rundll32.exe svou kopii.

I-Worm/Sircam.A obsahuje n∞kolik Ükodliv²ch rutin. 16.°φjna m∙₧e vymazat vÜechny soubory na disku C:, pop°φpad∞ v adresß°i C:\RECYCLED vytvo°φ soubor sircam.sys, do kterΘho zapisuje text

[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

[SirCam Version 1.0 Copyright (c) 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]

Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG