Worm/Sircam es el nombre de un gusano que apareció en la Web a mediados de julio y que rápidamente destronó a W32/Magistr y a VBS/HapTime de los primeros puestos de los rankings de virus más reportados. De supuesto origen mexicano, este código maligno también conocido como W32/Sircam (entre otros nombres) es capaz de reproducirse a través del correo electrónico. Y, si el equipo infectado se encuentra en una red local, además intenta copiarse a las unidades de red que éste tenga mapeadas.
Una de las principales causas de su gran poder de propagación tiene que ver con el tipo de mensaje que lo acompaña. Este puede ser enviado por el gusano en cualquier equipo, independientemente del cliente de correo electrónico empleado por el usuario afectado. El hecho es que Sircam utiliza sus propias rutinas de envío de correo electrónico.
El texto mandado a todos los contactos de la libreta y a todas las direcciones ubicadas en distintos directorios del equipo infectado puede ser generado en inglés o en español, y en un tono muy amigable. De esta manera intenta hacer creer que realmente uno está tratando con un conocido. Por ejemplo, uno de los cuatro mensajes que puede generar en español es: "¿Hola, cómo estas? Te mando este archivo para que me des tu punto de vista. Nos vemos pronto, gracias". ¿Quién no creería que se trata de un amigo?
Junto a ese texto, el gusano envía un archivo con doble extensión (por ejemplo, .doc.pif), tomado al azar de la carpeta MIS DOCUMENTOS, y le adosa el código del virus. Así, en cuanto es ejecutado, se instala rápidamente en el sistema. La extensión final del archivo adjunto suele ser .bat, .com, .exe, .ink o .pif.
La cantidad de reportes de este virus, en un corto lapso de tiempo, demostró la facilidad con que logró reproducirse y la cantidad de gente que no toma precauciones al recibir archivos adjuntos de amigos o conocidos. Incluso una unidad del FBI dedicada al delito informático tuvo que enfrentarse a diversos incidentes causados por Sircam. Dentro de sus oficinas, algunos de sus empleados lo ejecutaron, desobedeciendo las políticas básicas de seguridad del organismo estadounidense.
Lo peligroso de este virus es que si la fecha del sistema es el 16 de octubre, o tras cierta cantidad de ejecuciones, es capaz de eliminar todo el contenido del disco rígido del equipo infectado, lo cual obliga al usuario a instalar nuevamente el sistema operativo para volver a utilizarlo correctamente. Además, el archivo adjunto recibido contiene la información del archivo original tomado del sistema infectado, por lo que puede provocar que información confidencial sea enviada a personas no deseadas.
Dado que el virus, para lograr su supervivencia, se copia en distintos lugares del disco y modifica algunas variables de configuración del sistema con el fin de asegurar su ejecución en cada inicio, su desinfección no es nada simple. Aunque los antivirus lo detectan y eliminan en todas sus variantes conocidas, no corrigen los cambios que haya sufrido la configuración, e incluso, al eliminarlo, pueden causar problemas en el sistema.
Por ello, para borrarlo completamente, este suplemento recomienda la utilización de las herramientas FIX_SIRC, de Symantec (www.sarc.com), o pqremove, de Panda Software (sircam.pandasoftware.com). Estas herramientas vuelven atrás los cambios que el gusano haya realizado en el registro de configuración de Windows y eliminan cualquier rastro del virus en el sistema.
También conviene utilizar un antivirus y actualizarlo periódicamente para prevenirse. Por otra parte, estimado lector, no confíe en cualquier archivo que un amigo, conocido o quien sea le envíe por correo electrónico sin que usted lo haya solicitado.