El virus Sircam y su forma de trabajar

Un nuevo virus informático conocido como Sircam hace estragos en la Internet hispanoparlante. A él dedicamos en exclusiva esta sección que normalmente recoge eventos variados.

Respecto a otros virus anteriores, el Sircam tiene como característica más destacada la forma en que se distribuye del ordenador infectado al de otros usuarios: Otros virus que se transmiten por correo electrónico buscan en la agenda de correo-e (la "libreta de direcciones") a los destinatarios de los nuevos mensajes infectados; esto limitaba la difusión a un reducido conjunto de personas que además tenían (probablemente) relación directa con el usuario infectado.

Pero Sircam busca estos nuevos destinatarios usando fundamentalmente los archivos temporales de Internet, archivos que reproducen las páginas anteriormente visitadas. En estas páginas el virus encuentra muchas más direcciones a las que transmitirse, y además muchas de esas direcciones corresponden a personas que no tienen relación alguna con el usuario infectado.

El virus recoge todas esas posibles direcciones a asaltar, recopilándolas en uno o varios archivos específicos en los que las direcciones quedan ordenadas alfabéticamente. En esta redacción hemos podido comprobar que así, en el ordenador de un usuario infectado, este virus obtiene fácilmente miles de direcciones.

Además, el virus acepta como dirección atacable cualquier texto que encuentre en esas páginas y que pueda "parecer" un buzón de correo-e: el método de selección es poco fino y esto hace que se seleccionen como válidas muchas direcciones que no lo son; también usa direcciones que hace tiempo dejaron de funcionar pero que siguen estando en páginas obsoletas. Podríamos decir que el virus se difunde utilizando técnicas muy similares a las típicas del Spam: transmitir sus mensajes a muchos posibles destinatarios sin importarle que ahí pueda haber un porcentaje de transmisiones que fallarán.

Sircam utiliza su propio programa para hacer los envíos de mensajes infectados. En la bandeja de elementos enviados no queda rastro de las transmisiones realizadas por el virus. Sircam lee la configuración del programa de correo habitual, para obtener los datos del remitente y del servidor SMTP que será utilizado para transmitir los mensajes, pero todo eso lo hace sin conocimiento del usuario infectado.

Los internautas que reciben los mensajes infecciosos no suelen conocer al remitente: la única relación entre ambos es que el usuario infectado visitó una página en la que estaba escrita la dirección del usuario que ahora recibe el mensaje, pero no suele haber relación personal entre ambos.

Aun así, un sector de destinatarios es suficientemente ingenuo o cotilla como para abrir el archivo adjunto que lleva el remite de un desconocido. Para evitar posibles recelos, el virus añade en el cuerpo del mensaje una frase-trampa que parece escrita por el remitente y que dice algo así: "Te envío este fichero para que me digas tu punto de vista". Al abrir el archivo adjunto el ordenador del receptor también se infecta y de esta forma continúa la epidemia. Enviando miles de mensajes así, la propagación es exponencial: aunque solo un 1% de los receptores se infecten, la difusión es rapidísima y creciente.

Sircam utiliza algunas otras técnicas ya conocidas en virus anteriores. Por ejemplo usa archivos de doble extensión. Por defecto, Windows no muestra la extensión verdadera y solo permite ver la extensión falsa, de aspecto inofensivo. Además, Sircam utiliza con gran eficacia un amplísimo conjunto de posibles extensiones reales; nunca un virus anterior fué capaz de funcionar con tal número de ellas.

Otra particularidad es que Sircam añade al fichero adjunto el contenido de un documento obtenido del ordenador infectado, documento que es elegido aleatoriamente de la carpeta MIS DOCUMENTOS. Ese documento es publicado a los cuatro vientos en los mensajes infectados que el virus difunde, lo cual es un atentado contra la privacidad y la intimidad de un archivo que había sido creado seguramente con intenciones más privadas.

Esto también hace que el tamaño del fichero adjunto sea muy variable: desde 134 Kb hasta varios Mb, añadiendo más dificultades para detectar los mensajes infectados en función de su tamaño. El nombre del archivo-documento pasa a constituir el nombre visible del archivo adjunto y también pasa a ser el asunto ("subject") de los nuevos mensajes de difusión, lo cual hace imposible detectar el virus en función de estos detalles que resultan imprevisibles. Puesto que no hay patrones comunes en la cabecera de los mensajes infectados ni en sus ficheros adjuntos, los usuarios no pueden construir filtros que puedan bloquear automáticamente la recepción de estos mensajes.

Transmitir mensajes con grandes archivos adjuntos a una larguísima lista de destinatarios hace que el virus utilice una gran parte del ancho de banda que está disponible para el usuario. El internauta infectado probablemente note que su ordenador es más lento consultando páginas web o transmitiendo el correo personal, pero la mayoría de internautas aceptarán esta ralentización suponiendo que se deba a otros motivos.

El usuario infectado solo comienza a tener indicios más nítidos en las horas/días siguientes, cuando comienza a recibir un gran número de rebotes correspondientes a mensajes fallidos que llevaban su remite y que no pudieron ser entregados porque iban a direcciones incorrectas. El usuario infectado puede sorprenderse al ver estos rebotes correspondientes a mensajes que él no tiene conciencia de haber enviado. Pero incluso habrá muchos usuarios que no sabrán interpretar acertadamente esta anomalía, considerándolo como un fallo técnico inexplicable.

El virus comienza a hacer sus envíos de mensajes infectados utilizando la recopilación de direcciones, como ya se ha dicho, ordenadas alfabéticamente. Iniciará su labor difusora enviando mensajes a las direcciones que comiencen por la letra A, y dejará para el final las que empiecen por Z. El exagerado número de direcciones y el tamaño de los ficheros adjuntos harán que probablemente el virus no sea capaz de procesarlas todas, porque eso requeriría muchas horas de conexión. Aunque el usuario desconecte, el virus continuará sus transmisiones en las conexiones siguientes.

Pero también es posible que el usuario infectado detecte el problema antes de que el virus pueda terminar su labor difusora, e iniciará acciones para evitar que la distribución ilegal continúe. Esto hace que unos internautas reciban más carga de mensajes que otros: si tu dirección comienza por una de las primeras letras del alfabeto tienes más posiblidades de recibir muchos mensajes infecciosos; si tu dirección de correo empieza por una letra de las que están en el final del alfabeto es más probable que recibas menos mensajes infecciosos.
Cuando un usuario es infectado, el virus coloca su propio programa ejecutable en la papelera de reciclaje (C:\Recycled), una carpeta "muy especial" que no es chequeada por algunos de los programas antivirus: nadie espera que un programa activo esté trabajando desde esa ubicación tan precaria e irregular. Pero en realidad no hay ningún impedimento técnico para que un programa funcione desde ahí.

Al igual que la mayoría de los virus anteriores, el Sircam solo puede infectar a los sistemas operativos Windows. Pero eso es más que suficiente porque ese es el sistema mayoritario, con mucha diferencia respecto a cualquier otro (más comentarios sobre este aspecto en la columna de Peter, "La píldora dorada", en este mismo boletín). Pero también hay que tener en cuenta que desde un ordenador Windows infectado, el virus envía mensajes a cualquier dirección, indiscriminadamente, y eso incluye a los usuarios de otros sistemas operativos. Estos últimos no podrán infectarse, pero también pueden ver saturado su correo electrónico por la avalancha de mensajes recibidos.

En días previos al cierre de esta edición ya se aprecia una relativa disminución en la cantidad de mensajes Sircam que están circulando. Podemos suponer que este problema seguirá disminuyendo de forma lenta y progresiva en el futuro. Pero también queremos advertir que ahora mismo estamos influenciados por las vacaciones estivales. Muchos veraneantes, al regresar a su casa se encontrarán el buzón de correo atestado de mensajes, y también es previsible que algunos se infecten en ese momento, con repuntes en el tráfico de basura Sircam.

Terminaremos con una breve cronología del virus. En la sección de SALIR A NAVEGAR pueden encontrarse enlaces relacionados y páginas que amplían estas informaciones.

• 17/07/2001: Se detectan los primeros mensajes que contienen este virus.

• 18/07/2001: Primer ejemplar recibido en nuestra redacción. Reporte del virus en boletín de AVP e Hispasec.

• 19/07/2001: Mcafee Viruscan lo incluye en su DAT 4.0.4148, siendo el primer antivirus que lo controla.

• 20/07/2001: Se propaga en forma exponencial. Panda Software publica una utilidad para eliminarlo. A partir de aquí otros boletines electrónicos y páginas web comienzan a dar amplia información.

• 23/07/2001: CNN publica una noticia sobre Sircam y otro virus conocido como "Alerta Roja". No dan mucha importancia a ninguno de los dos. Otras empresas también generan herramientas específicas y gratuitas para eliminar el virus de los ordenadores infectados.

• 24/07/2001: El virus Sircam ya ha obtenido la calificación de riesgo alto por parte de McAfee. Colapso del servidor de Panda Software por demanda de la utilidad para eliminar Sircam; la empresa crea un servidor especifico para atender este virus.

• 30/07/2001: En colaboración con otros organismos y asociaciones, el Ministerio de Ciencia y Tecnología del Gobierno español pone en funcionamiento el Centro de Alerta temprana sobre virus informáticos. Los medios de comunicación de tipo general reflejan la importancia de este evento, y a partir de aquí también comienzan a dar información sobre Sircam puesto que este virus es la primera alarma emitida por el centro de alertas.