O vírus SirCam não pára de se alastrar. A praga virtual, descoberta no dia 17/07/2001, foi “promovida” por duas das principais companhias de segurança de dados, tendo seu grau de perigo alterado por Trend Micro e Symantec. Já a Symantec promoveu a ameaça de 3 de para 4, em sua escala de vírus, que vai até 5. No caso da McAfee, ele já aparecia como médio risco.
“No período da manhã, recebemos comunicados de contaminação de 20 empresas só de São Paulo”, destaca Hernan Armbruster, gerente da Trend Micro para a América Latina. Segundo o executivo, os países mais atingidos pela praga virtual são México, Brasil, Argentina e Estados Unidos. “Tivemos pelo menos 50 casos de companhias infectadas só na América Latina”, destaca.
Quanto aos usuários domésticos, a Trend oferece um serviço que permite verificar via Internet se o computador está infectado, o HouseCall. Apenas nas últimas 24 horas, 700 internautas que usaram a ferramenta em todo o mundo estavam contaminados pelo SirCam, cerca de 80 deles da América Latina. “Ele já é o vírus de maior incidência na região”, afirma o executivo. Vale lembrar que os dados referem-se aos números obtidos apenas por uma das empresas de antivírus, o que projeta números bem maiores de contaminação.
Já a unidade brasileira da McAfee encerrou o dia com pelo menos 65 casos confirmados de contaminação em empresas em todo o Brasil pelo SirCam, em áreas como telecomunicações, turismo, empresas jornalísticas e Internet.
O SirCam chega por e-mail (com versões em
pelo menos dois idiomas, inglês e espanhol) e traz um arquivo
anexado, que pode ter várias extensões, como .bat,
.com, .exe ou .lnk.
No campo de assunto, traz
uma palavra escolhida aleatoriamente e que será o mesmo nome
do arquivo anexado. Já o corpo do e-mail também varia
mas costuma ter um dos dois textos abaixo na primeira linha e na
última:
Todas tentam fazer o destinatário clicar
no arquivo anexado, para que o vírus entre em ação.
Segundo a Symantec, ao executar a praga virtual, o computador passa
a enviar mensagens com o Sircam para todos os endereços cadastrados
no Adress Book, incluindo documentos escolhidos aleatoriamente na máquina
contaminada. Ou seja, aquela planilha com informações
da empresa, por exemplo, passa a ser enviada para dezenas de pessoas.
Além disso, ele pode congestionar servidores de e-mail.
De acordo com a McAfee, ele copia seu código
como C:\RECYCLED\SirC32.exe e cria as seguintes chaves de registro
para carregar o vírus sempre que um arquivo executável
contaminado for executado:
HKCR\exefile\shell\open\command \Default="C:\recycled\SirC32.exe"
"%1" %*
Ele também é copiado para o diretório
Windows System como SCam32.exe e cria as chaves para ser carregado
automaticamente:
HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe
A Symantec disponibilizou um update que barra
o vírus. Para isso, é necessário atualizar
o programa de proteção. A McAfee criou um Dat 4148
(arquivo de atualização), disponível em seu
site. Ao receber o arquivo, o usuário deve executá-lo e
realizar uma varredura do equipamento. Segundo a empresa, ele identificará
os arquivos nocivos, que serão removidos, limpando o micro.
Para quem não possui antivírus e já foi infectado,
a Panda Software está oferecendo um programa gratuito de remoção,
disponível no endereço www.pandasoftware.es/enciclopedia/pqremove.com
. Outra opção para checagem é a HouseCall, da
Trend, que verifica a presença do vírus via Internet.
