Hallo Thomas und Allerseits!

Habe auch schon ein paar von den Dingern erhalten.
Und wen es interesiiert, hier eine Beschreibung vom Virus:

Sircam ist ein Mass-Mailing Internet-Wurm, der eine Länge von etwa 130 KByte zuzüglich der Länge einer Datei von dem infizierten System (siehe unten) besitzt. Wird er von einem Benutzer zum Beispiel durch einen Doppelklick aufgerufen, kopiert er seinen Code in die Verzeichnisse c:\recycled\ als

SirC32.exe

und in das Windows System-Verzeichnis als
       SCam32.exe

Die Datei SirC32.exe wird als Standard Startup-Command für EXE-Dateien benutzt. Dadurch wird diese Datei stets aufgerufen, wenn eine EXE-Datei ausgeführt wird.
       HKEY_CLASSES_ROOT\exefile\shell\open\command
       @=""C:\recycled\SirC32.exe" " %*"

Die Datei SCam32.exe wird als Treiber registriert. Dadurch wird Sie bei jedem Start von Windows aufgerufen.
       HKLM\Software\Microsoft\Windows\Current Version
       "Driver32"="C:\WINDOWS\SYSTEM\SCam32.exe

Der Wurm den Namen von rundll32.exe in
       run32.exe

und kopiert dann seinen Code nach rundll32.exe.
Weiterhin kopiert sich der Wurm mit einer Wahrscheinlichkeit von 1/33 in das Windows-Verzeichnis mit dem Namen

ScMx32.exe

In diesem Fall kopiert sich der Wurm auch in das Start-Verzeichnis von Windows als
       Microsoft Internet Office.exe

Dadurch wird der Wurm bei jedem Login in das System aktiviert.
Der Wurm Sircam ist nur auf WIN32-Systemen funktionsfähig.

Sircam sammelt E-Mail-Adressen aus Dateien (z.B. mit Extension HTM) und kopiert diese im Windows System-Verzeichnis in eine Datei scw1.dll. Dieser Name kann aber auch zufällig festgelegt werden.

In dem Verzeichnis "My Documents" (Eigene Dateien) wird vom Wurm eine weitere Datei gespeichert. Diese enthält eine Liste von Datei-Namen mit bestimmten Extensions, wie zum Beispiel DOC, ZIP und JPG. Sircam versucht diese Dateien, die in der Regel auch vertrauliche Informationen enthalten können, per E-Mail zu versenden.

Der Wurm besitzt für den Versand von E-Mails eine eigene SMTP-Engine. Jeweils eine Datei aus der oben erwähnten Liste wird ausgewählt und an das Ende des Wurm-Codes kopiert. Diese Dateien besitzen jeweils zwei Extensions, wie zum Beispiel: .DOC.EXE, .ZIP.COM oder .JPG.PIF. Der Name der Datei ist identisch mit dem Namen der Datei, die vom infizierten System kopiert wurde. Die zweite Extension wird zufällig aus PIF, LNK, BAT oder COM gewählt.

Wenn der Empfänger einer solchen infizierten E-Mail das Attachment öffnet, installiert sich der Wurm auf seinem System und die in dem Attachment zusätzlich enthaltene Datei wird angezeigt:

Extension .DOC: Aufruf von WinWord.exe oder WordPad.exe
        Extension .XLS: Aufruf von Excel.exe
        Extension .ZIP: Aufruf von WinZip.exe

Auf diese Weise versucht der Wurm, sich vor dem Benutzer zu verbergen.
Infizierte E-Mails besitzen folgenden Inhalt:

From:    [E-Mail-Adresse des Benutzers] oder
                [Benutzer des infizierten Systems@prodigy.net.mx]
       To:      [Name@email.aus dem Adressbuch]
       Subject: Name des Dokuments [ohne Extension]

und zusätzlich:
       Hi! How are you?
       I send you this file in order to have your advice

oder
       I hope you can help me with this file that I send

oder
       I hope you like the file that I send you

oder
       This is the file with the information that you ask for
       See you later. Thanks

Falls spanisch eingestellt ist, lauten die Texte (Subject):
       Hola como estas?
       Te mando este arcivo para que me des tu punto de vista

oder
       Espero me puedas ayudar con el archivo que te mando

oder
       Espero te guste este archivoque te mando

oder
       Este es el archivo con la informaci n que me pediste
       Nos vemos pronto, gracias.

Der Body der infizierten E-Mail kann englisch oder spanisch sein. Die erste Zeile ist stets
       Hi! How are you?         Hoja como estas?

Die letzte Zeile lautet stets:
       See you later. Thanks    Nos vemos pronto, gracias

Dazwischen kann folgendes stehen:
       I send you this file in order to have your advice
       I hope you can help me with this file that I send
       I hope you like the file that I send to you
       This is the file with the information that ask you for

Bzw. in spanisch:
       Te mando este archivo para que me des tu punto de vista
       Espero me puedas ayudar con el archivo que te mando
       Espero te guste este archivo qu te mando
       Este es el archivo con la informacion que me pediste

Die als Attachment an eine infizierte E-Mail angehängte Datei besitzt den gleichen Namen wie die Datei, in die sich der Wurm auf dem infizierten System kopiert hat. Sie hat zwei Extensions, wie bereits oben erwähnt.
Ausbreitung in Netzwerken

Der Wurm ermittelt alle shared Verzeichnisse auf Remote-Systemen, um sich im Netzwerk auszubreiten, und kopiert seinen Code auf diese Systeme. Findet er ein Verzeichnis "recycled", so kopiert er seinen Code nach:

\recycled\SirC32.exe

Findet er ein Verzeichnis "Windows", ändert er den Datei-Namen RUNDLL32.EXE in
       RUN32.EXE

und kopiert den Wurm-Code nach RUNDLL32.exe.
Alle Kopien des Wurm-Codes erhalten das Attribut hidden.

Der Wurm besitzt zwei Schadfunktionen. Am 20. Oktober löscht der Wurm mit einer Wahrscheinlichkeit von 1/20 alle Dateien des Laufwerks, auf dem Windows installiert ist.

An einem anderen Tag generiert der Wurm mit einer Wahrscheinlichkeit von 1/50 in dem Laufwerk, in dem Windows installiert ist, eine Datei

\recycled\sircam.sys

und kopiert in diese
       SirCam_2rP_Ein_NoC_CuiTzeo_MicH_MeX

oder
       SirCam Version 1.0 Copyright 2001 2rP Made in Hecho en - Cuitzeo,
       Michoacan Mexico

so lange bis kein freier Speicher auf dieser Festplatte mehr verfügbar ist.
Hinweise für die Säuberung infizierter Systeme:

Holen Sie sich zunächst folgende REG-Datei:

ftp://ftp2.percomp.de/pub/tools/sirc_dis.reg

Mit Hilfe dieser REG-Datei kann der Eintrag des EXE-Keys in der Registry gesäubert werden und dadurch der Start des Wurm-Programms beim Start von Windows verhindert werden.
Wichtige Warung: Das infizierte System kann unter Umständen nicht mehr gestartet werden, wenn der Wurm-Code gelöscht wurde bevor der Registry-Eintrag (wie oben angegeben) gelöscht wurde! Also zuerst die Registry mit Hilfe der oben genannten REG-Datei säubern und erst danach den Wurm-Code löschen.

Unter Umständen ist es nicht möglich, die Dateien mit den Wurm-Code mit einem Anti-Viren-Programm zu löschen. In einem solchen Fall muss das System mit MS-DOS gestartet werden und dann die Dateien manuell gelöscht werden. Selbstverständlich kann nach einem Kaltstart mit MS-DOS auch F-PROT für DOS bzw. FP-DOS für das Löschen dieser Dateien verwendet werden.

Selbstverständlich sollte auch die vom Wurm in autoexec.bat zusätzlich eingefügte Zeile gelöscht werden.

Viele Grüsse
Alex