製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/SirCam@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4148
対応定義ファイル
(現在必要とされるバージョン)
4346 (現在7578)
対応エンジン4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Sircam (AVP), TROJ_SIRCAM.A (Trend), W32.Sircam.Worm@mm (NAV), W32/SirCam.bat, W32/SirCam.dat, Worm.Sircam.A (AVX)
亜種W32/SirCam.gen@MM
情報掲載日01/07/20
発見日(米国日付)01/07/17
駆除補足ウイルス駆除のヒント
-機密ファイルを勝手送信されるのは困るので暗号化も検討したい
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/30RDN/Generic ...
09/30RDN/Spybot.b...
09/30RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7578
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る
W32/SirCam@MMウイルスを理解する3つのポイント
  • メール配信型。Outlookなどメーラーへの依存はない
  • 「マイ ドキュメント」の中のファイルを迷惑送信。情報漏洩の恐れ
  • 「ごみ箱」に潜伏する
  • SirCam対策ナビゲーター

    SirCamウイルス緊急Q&Aセンター

    拡張子設定に気をつけてください! 「ごみ箱」フォルダもウイルス検査対象に!

    • これはメール大量送信型ウイルスです。「マイ ドキュメント」フォルダの中の任意のファイルとウイルス自身をWindowsアドレス帳の中の全てのユーザーに迷惑送信します。

      ウイルスメール例(「マイドキュメント」から"Setuplog.doc"が選択された場合)

      最後の拡張子("Setuplog.doc.***" の部分)は.BAT, .COM, .EXE, .LNK, .PIF. の中からいずれかが選択されます。

    • またテンポラリ・インターネット・キャッシュ・ファイル(=Webブラウザのキャッシュ)の中に見つかったアドレスにも送り付けられます。

    • メールの内容は以下のとおりです。

      件名[ ランダムなファイル名 ]
      本文 Hi! How are you? [ 以下の四文のいずれかが選ばれます。]
    • I send you this file in order to have your advice
    • I hope you can help me with this file that I send
    • I hope you like the file that I sendo you
    • This is the file with the information that you ask for

      See you later. Thanks

    • 同様のメールがスペイン語で届くこともあります。

      本文 Hola como estas ?

      [ 以下の四文のいずれかが選ばれます。]

    • Te mando este archivo para que me des tu punto de vista
    • Espero me puedas ayudar con el archivo que te mando
    • Espero te guste este archivo que te mando
    • Este es el archivo con la informacin que me pediste Nos vemos pronto, gracias.

    • 上記のウイルスメールには添付ファイルもつきます。この添付ファイルには拡張子が二重についています。一つめの拡張子は、ウイルス性のファイルを指す拡張子です。

    • この添付ファイルが実行された場合、添付ドキュメントは、C:\RECYCLEDフォルダに保存され、さらにオープンされます。この間に、ウイルスはC:\RECYCLED\SirC32.exe に自分自身をコピーして、自分の存在を隠します。

    • さらに以下のレジストリ・キーを作成して、任意のEXEファイルが実行された際には、ウイルスもロードされるようにします。

      HKCR\exefile\shell\open\command
      \Default="C:\recycled\SirC32.exe" "%1" %*

    • RECYCLE BIN フォルダ(=「ごみ箱」フォルダ)は、ウイルス検査の対象外に指定されていることがよく見受けられます。このフォルダも検査対象に含めることをお勧めします。

    • さらにこのウイルスは、WINDOWS SYSTEM ディレクトリに、SCam32.exe というファイル名で自分自身をコピーします。さらに以下のレジストリキーを作成して、自分自身が自動的にロードされるようにします。

      HKLM\Software\Microsoft\Windows\CurrentVersion\ RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe

    • また、My Documentフォルダの中の.GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, .ZIPファイルのリストが、SYSTEMディレクトリのSCD.DLLというファイルに格納されます。(注:SCD というファイル名の2文字目、つまり'C'のところはランダムに変わるようです)

    • eメールアドレスは、Windowsアドレスブックとテンポラリ・インターネット・キャッシュページの中から収集され、最後にSYSTEMディレクトリのSCD1.DLLというファイルの中に格納されます。 (注:SCD1 というファイル名の2文字目と3文字目、つまり'C'と'D'のところはランダムに変わるようです)

    • このウイルスは、SCD.DLLファイルの中で指定されているファイルをプリペンドし、さらにそのコピーをeメールの添付ファイルにします。この際に、.BAT, .COM, .EXE, .LNK, .PIF. 拡張子が使用されます。添付ファイルの拡張子が二重化するのは、そのためです。

    • また、ウイルスの内部で使用するための変数を保存するためのレジストリキーも作成されます。(実行回数やSMTP情報など)

      HKLM\Software\Sircam

    • SirCamは、ネットワーク共有部分を悪用して他のマシンに感染することもあります。リモートシステムの中の\windows\rundll32.exeファイルが、ウイルス性のコピーに置き換えられてしまいます。 またそれらのシステムでは、autoexec.batに"@win \recycled\sirc32.exe"という行が追加されます。

    • またEメールのオーバーローディング除いて、ハードディスクの中のファイルを削除したり、SirCamファイルに大量のテキスト・エントリを追加してハードディスクを一杯にしてしまいう可能性があります。

    以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

    感染方法TOPへ戻る

    駆除方法TOPへ戻る