ウイルス情報

ウイルス名 危険度

W32/SirCam@MM

企業ユーザ: 中
個人ユーザ: 中
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4148
対応定義ファイル
(現在必要とされるバージョン)
4346 (現在7652)
対応エンジン 4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Sircam (AVP), TROJ_SIRCAM.A (Trend), W32.Sircam.Worm@mm (NAV), W32/SirCam.bat, W32/SirCam.dat, Worm.Sircam.A (AVX)
亜種 W32/SirCam.gen@MM
情報掲載日 01/07/20
発見日(米国日付) 01/07/17
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

W32/SirCam@MMウイルスを理解する3つのポイント
  • メール配信型。Outlookなどメーラーへの依存はない
  • 「マイ ドキュメント」の中のファイルを迷惑送信。情報漏洩の恐れ
  • 「ごみ箱」に潜伏する
  • SirCam対策ナビゲーター

    SirCamウイルス緊急Q&Aセンター

    拡張子設定に気をつけてください! 「ごみ箱」フォルダもウイルス検査対象に!

    • これはメール大量送信型ウイルスです。「マイ ドキュメント」フォルダの中の任意のファイルとウイルス自身をWindowsアドレス帳の中の全てのユーザーに迷惑送信します。

      ウイルスメール例(「マイドキュメント」から"Setuplog.doc"が選択された場合)

      最後の拡張子("Setuplog.doc.***" の部分)は.BAT, .COM, .EXE, .LNK, .PIF. の中からいずれかが選択されます。

    • またテンポラリ・インターネット・キャッシュ・ファイル(=Webブラウザのキャッシュ)の中に見つかったアドレスにも送り付けられます。

    • メールの内容は以下のとおりです。

      件名[ ランダムなファイル名 ]
      本文 Hi! How are you? [ 以下の四文のいずれかが選ばれます。]
    • I send you this file in order to have your advice
    • I hope you can help me with this file that I send
    • I hope you like the file that I sendo you
    • This is the file with the information that you ask for

      See you later. Thanks

    • 同様のメールがスペイン語で届くこともあります。

      本文 Hola como estas ?

      [ 以下の四文のいずれかが選ばれます。]

    • Te mando este archivo para que me des tu punto de vista
    • Espero me puedas ayudar con el archivo que te mando
    • Espero te guste este archivo que te mando
    • Este es el archivo con la informacin que me pediste Nos vemos pronto, gracias.

    • 上記のウイルスメールには添付ファイルもつきます。この添付ファイルには拡張子が二重についています。一つめの拡張子は、ウイルス性のファイルを指す拡張子です。

    • この添付ファイルが実行された場合、添付ドキュメントは、C:\RECYCLEDフォルダに保存され、さらにオープンされます。この間に、ウイルスはC:\RECYCLED\SirC32.exe に自分自身をコピーして、自分の存在を隠します。

    • さらに以下のレジストリ・キーを作成して、任意のEXEファイルが実行された際には、ウイルスもロードされるようにします。

      HKCR\exefile\shell\open\command
      \Default="C:\recycled\SirC32.exe" "%1" %*

    • RECYCLE BIN フォルダ(=「ごみ箱」フォルダ)は、ウイルス検査の対象外に指定されていることがよく見受けられます。このフォルダも検査対象に含めることをお勧めします。

    • さらにこのウイルスは、WINDOWS SYSTEM ディレクトリに、SCam32.exe というファイル名で自分自身をコピーします。さらに以下のレジストリキーを作成して、自分自身が自動的にロードされるようにします。

      HKLM\Software\Microsoft\Windows\CurrentVersion\ RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe

    • また、My Documentフォルダの中の.GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, .ZIPファイルのリストが、SYSTEMディレクトリのSCD.DLLというファイルに格納されます。(注:SCD というファイル名の2文字目、つまり'C'のところはランダムに変わるようです)

    • eメールアドレスは、Windowsアドレスブックとテンポラリ・インターネット・キャッシュページの中から収集され、最後にSYSTEMディレクトリのSCD1.DLLというファイルの中に格納されます。 (注:SCD1 というファイル名の2文字目と3文字目、つまり'C'と'D'のところはランダムに変わるようです)

    • このウイルスは、SCD.DLLファイルの中で指定されているファイルをプリペンドし、さらにそのコピーをeメールの添付ファイルにします。この際に、.BAT, .COM, .EXE, .LNK, .PIF. 拡張子が使用されます。添付ファイルの拡張子が二重化するのは、そのためです。

    • また、ウイルスの内部で使用するための変数を保存するためのレジストリキーも作成されます。(実行回数やSMTP情報など)

      HKLM\Software\Sircam

    • SirCamは、ネットワーク共有部分を悪用して他のマシンに感染することもあります。リモートシステムの中の\windows\rundll32.exeファイルが、ウイルス性のコピーに置き換えられてしまいます。 またそれらのシステムでは、autoexec.batに"@win \recycled\sirc32.exe"という行が追加されます。

    • またEメールのオーバーローディング除いて、ハードディスクの中のファイルを削除したり、SirCamファイルに大量のテキスト・エントリを追加してハードディスクを一杯にしてしまいう可能性があります。

    TOPへ戻る

    以下の症状が見られる場合、このウイルスに感染している可能性があります。

    TOPへ戻る

    感染方法

    TOPへ戻る

    駆除方法

    TOPへ戻る