{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"

Toutes les plateformes Windows 9x et dans certains cas les autres plateformes Windows 32 bits.

","closed_at":"2001-07-26","content":"## Description\n\nLe virus SirCam-A aussi appel\u00e9 W32/SirCam@mm, Backdoor.Sircam ou encore\nW32.Sircam.Worm@mm est un ver utilisant pour se propager les pi\u00e8ces\njointes dans un m\u00e9l ainsi que les fichiers partag\u00e9s et non prot\u00e9g\u00e9s sous\nWindows.\n\nIl se pr\u00e9sente actuellement sous la forme d'un m\u00e9l \u00e9crit en anglais ou\nespagnol invitant l'utilisateur \u00e0 ex\u00e9cuter une pi\u00e8ce jointe \u00e0 ce\ncourrier.\n\nLes pi\u00e8ces jointes sont des fichiers de la machine contamin\u00e9e de\nl'\u00e9metteur du message poss\u00e8dant une double extension en .jpg.com,\n.mpg.pif par exemple, afin de tromper la vigilance des usagers.\n\nSi le fichier attach\u00e9 est ouvert, le ver installe les fichiers suivants\n:\n\n`C:\\RECYCLED\\SirC32.exe` ainsi que SCam32.exe dans le repertoire\n`Windows\\System`.\n\nPlusieurs cl\u00e9s de la base des registres sont aussi cr\u00e9\u00e9es ou modifi\u00e9es :\n\n`HKCR\\exefile\\shell\\open\\command\\Default=\"C:\\recycled\\SirC32.exe\" \"%1\" %*`\n\n`HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\`\n`RunServices\\Driver32=C:\\WINDOWS\\SYSTEM\\SCam32.exe`\n\n`HKLM\\Software\\Sircam`\n\nEn plus de s'installer, et de se propager sous cette forme, le virus\npeut avoir d'autres effets :\n\n- diffusion par m\u00e9l de fichiers trouv\u00e9s sur le disque dur de la\n machine contamin\u00e9e puis infect\u00e9s ;\n- suppression al\u00e9atoire de fichiers du disque dur voire effacement\n complet ;\n- remplissage de l'espace restant sur le disque dur par ajout de texte\n au fichier `\\Recycled\\sircam.sys`.\n\nL'effet nuisible principal de ce virus, est certainement la diffusion\nnon contr\u00f4l\u00e9e de documents.\n\nCe ver a la particularit\u00e9 de poss\u00e8der son propre service SMTP de fa\u00e7on \u00e0\nenvoyer ses messages aux correspondants du carnet d'adresses Outlook\nainsi qu'aux adresses trouv\u00e9es dans les fichiers temporaires d'Internet\nExplorer.\n\nIl recherche aussi les r\u00e9pertoires partag\u00e9s sans protection sur le\nr\u00e9seau.\n\nLorsqu'il en trouve, il tente de s'installer dans le r\u00e9pertoire Recycled\nsous le nom SirC32.exe et de renommer rundll32.exe en run32.exe pour s'y\nsubstituer dans le r\u00e9pertoire Windows du disque partag\u00e9 s'il existe.\n\nEn cas de succ\u00e8s, le fichier autoexec.bat est modifi\u00e9 de fa\u00e7on \u00e0\nex\u00e9cuter Rundll32.exe au d\u00e9marrage.\n\n## Solution de pr\u00e9vention\n\nSuivre les recommandations de la note CERTA-2000-INF-002 concernant les\npi\u00e8ces jointes :\n\n- mettre \u00e0 jour son antivirus ;\n- ne pas ex\u00e9cuter les pi\u00e8ces jointes sans v\u00e9rification de leur\n bien-fond\u00e9. En particulier le fait de recevoir une pi\u00e8ce jointe\n d'une personne connue n'est pas une garantie de l'inocuit\u00e9 de\n l'attachement.\n\nSuivre les recommandations de l'avis CERTA-2001-ALE-002 concernant les\npartages de fichiers :\n\n- Bloquer les ports concernant Netbios sur le garde-barri\u00e8re : 135,\n 137, 138, 139 TCP et UDP ;\n- mettre \u00e0 niveau les r\u00e8gles de s\u00e9curit\u00e9 sur les fichiers et\n principalement les ressources partag\u00e9es :\n - supprimer les partages non authentifi\u00e9s ;\n - mettre des mots de passe sur tout partage Windows 9x ;\n - renforcer les mots de passe existants ;\n - renforcer les permissions sur les partages de Windows NT/2000.\n\n## Solution en cas de contamination\n\nApr\u00e8s avoir d\u00e9connect\u00e9 la machine infect\u00e9e du r\u00e9seau, mis \u00e0 jour votre\nantivirus et v\u00e9rifi\u00e9 que votre syst\u00e8me affiche tous les fichiers et ne\nmasque aucune extension suivez ces instructions dans l'ordre :\n\n1. Supprimer tous les fichiers `\\windows\\SIrC32.exe` et Scam32.exe\n s'ils existent ;\n\n2. Sirun32.exe existe, alors supprimer rundll32.exe et renommer\n run32.exe en rundll32.exe ;\n\n3. modifier les cl\u00e9s de la base des registres comme suit :\n - supprimer les cl\u00e9s\n\n `\\HKEY_LOCAL_MACHINE\\Software\\Sircam` ;\n\n `\\HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServicesirCam`\n ;\n\n - et changer la valeur de la cl\u00e9 (Ne surtout pas supprimer cette\n cl\u00e9 !)\n\n `\\HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command`\n\n en y remettant la valeur `\"%1\" %*\"`.\n\n4. Supprimer, si elle existe, la ligne\n\n `@Win \\recycled\\sirc32.exe`\n\n du fichier autoexec.bat ;\n\n5. supprimer le fichier Sircam.sys s'il existe ;\n\n6. parcourir tout le syst\u00e8me avec l'antivirus et supprimer tous les\n fichiers d\u00e9tect\u00e9s par ce dernier.\n\n## Solution\n\nMettre \u00e0 jour les bases de signatures des logiciels anti-virus.\n","cves":[],"links":[{"title":"Avis de Fsecure :","url":"http://www.europe.f-secure.com/v-descs/sircam.shtml"},{"title":"Encyclop\u00e9die des virus de Symantec :","url":"http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.html"}],"reference":"CERTA-2001-ALE-009","revisions":[{"description":"version initiale.","revision_date":"2001-07-24T00:00:00.000000"},{"description":"seconde version : dans les solutions, la supression de la cl\u00e9

HKCR\\exefile\\shell\\open\\command\\Default=\"C:\\recycled\\SirC32.exe\" \"%1\" %*

engendre un disfonctionnement des syst\u00e8mes trait\u00e9s.

","revision_date":"2001-07-26T00:00:00.000000"}],"risks":[{"description":"Propagation de ver"},{"description":"Divulgation de documents et perte de confidentialit\u00e9"}],"summary":"Des remont\u00e9es d'informations, nous apprennent que le ver SirCam se\npropage \u00e0 tr\u00e8s grande vitesse sur les r\u00e9seaux fran\u00e7ais.\n","title":"Propagation importante du virus SirCam","vendor_advisories":[{"published_at":null,"title":"Sophos","url":"http://www.sophos.com/virusinfo/analyses/w32sircama.html"}]}