Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

SirCam, ¿una prueba para idiotas?
 
VSantivirus No. 465 - Año 5 - Martes 16 de octubre 2001

SirCam, ¿una prueba para idiotas?
Por Redacción VSAntivirus

Hoy martes 16 de octubre, debería estar activándose una de las rutinas más peligrosas de este insidioso virus, la que podría borrar los archivos de su sistema.

Sin embargo, diferentes compañías de antivirus discrepan con que esto realmente suceda así.

Según los análisis más genéricos del código del virus, una rutina que se ejecuta el 16 de octubre, genera un valor determinado, al azar entre veinte opciones. Si el número generado (diferente en cada PC infectado), coincide con un valor preestablecido en el código del virus, entonces se podría proceder a borrar todos los archivos y carpetas de la unidad C. Esto funciona solo en las computadoras con el formato DIA/MES/AÑO, o sea, la clásica configuración bajo un sistema en español (en inglés es MES/DIA/AÑO), y como vimos, existen una de veinte chances de que ocurra.

Sin embargo, otros expertos dicen que el SirCam posee un grave error de programación, y el gusano intentará, pero no podrá borrar archivos en las máquinas infectadas en esta fecha.

Según Sophos, el gusano genera el número al azar, pero lo hace DESPUÉS que ha comprobado si el número coincide. Un error tonto, pero que indicaría que el autor no probó su código.

Este análisis es apoyado también por F-Secure, compañía que asegura existe mucha información equivocada sobre el virus, por la sencilla razón que su código es muy complejo, y por lo tanto difícil de analizar. En el laboratorio, no es suficiente con adelantar la fecha del sistema a la de la posible activación, para comprobar el punto, porque el virus comprueba la fecha de maneras más complejas.

A pesar de todo, algunas compañías siguen anunciando la fecha del 16 (hoy) como crítica, mientras otras como McAfee, simplemente afirman que el virus posee rutinas capaces de borrar archivos en determinada fecha, pero que ello no ha podido ser comprobado en las pruebas realizadas.

Central Command en cambio, asegura que el código no tiene nada malo, pero que las probabilidades de causar graves daños son mínimas, porque debería existir una coincidencia en 20 chances, para hacerlo, y esto, una sola vez.

El misterio del código del SirCam, podría surgir a partir que algunas casas antivirus han mencionado algunas versiones diferentes del gusano.

Es curioso que este hecho haya despertado el interés solo de unos pocos. Al respecto, cabe destacar aquí, un comentario que nos hiciera hace unos meses nuestro colaborador Arnoldo Moreno Pérez, de quien hemos tenido el honor de publicar varios artículos en VSAntivirus.

En sus investigaciones, Moreno Pérez intentó averiguar con diversos laboratorios antivirus, la diferencia del SirCam original con versiones como la C, que algunos mencionaban. Ninguno supo explicarle cuáles eran.

En concreto, todos los códigos investigados correspondían a un solo SirCam, aunque algunos lo identificaban como C.

Aún hoy, empresas como Sophos, insisten que hay una sola versión del SirCam. Pero, aclaran que la confusión casi con seguridad radica en investigadores que no examinaron el código en detalle.

Justamente, Sophos ha encontrado una rutina relacionada con la activación del virus el 16 de octubre, aunque aclara que las posibilidades que se activen, son remotas.

El tema es muy simple, si los usuarios renombran cualquier archivo de los creados por el gusano en su infección, (por ejemplo, SIRC32.EXE) y lo ejecutan (o es ejecutado por otra persona más tarde), entonces el SirCAm activaría su rutina destructiva, sin importar las chances de 1 a 20, y presumiblemente, tampoco la fecha de ejecución.

Pero se cumplan o no las predicciones (para cuando usted lea esto, ya deberíamos saberlo), lo cierto es que muchos piensan que el virus tendría que haberse ejecutado, "para darles una lección a todos los idiotas que aún tienen sus máquinas infectadas".

Un comentario muy drástico visto en alguna publicación, pero que no vamos a negar, posee su cuota de sabiduría.

Más información:

VSantivirus No. 376 - 19/jul/01
W32/SirCam a fondo. Examen completo de este gusano
http://www.vsantivirus.com/sircam.htm

VSantivirus No. 381 - 24/jul/01
SirCam. Consejos para hacer más fácil nuestra vida
http://www.vsantivirus.com/sircam-consejos.htm

VSantivirus No. 386 - 29/jul/01
Utilidad para sacar el virus W32/SirCam
http://www.vsantivirus.com/kit-1-sircam.htm

VSantivirus No. 459 - 10/oct/01
El 16 de octubre. Fecha crítica para el SirCam
http://www.vsantivirus.com/sircam-16-oct.htm

VSantivirus No. 463 - 14/oct/01
SirCam... cuenta regresiva para su PC
http://www.vsantivirus.com/sircam-cuenta.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com 		 

Copyright 1996-2001 Video Soft BBS