TROJ_SIRCAM.A
Alias : SCAM.A, TROJ_SCAM.A, W32.Sircam.Worm@mm, W32/SirCam@MM
Tipe resiko : Medium
Trojan ini menyalurkan dirinya via Email dengan Microsoft Outlook Express. Ia akan mengirim copy dirinya ke semua alamat yg terdaftar di pengguna yg terinfeksi trojan ini. Ia datang dlm bentuk email dg baris subject yg acak dg attachment yg mempunyai nama sama. Contohnya sebagai berikut :
Subject: (subject line acak)
Body text: (Bisa dalam English atau Spanish)
Hi! How are you?
I send you this file in order to have your advice
Atau I hope you can help me with this file that I send
Atau I hope you like the file that I send you
Atau This is the file with the information that you ask for
See you later. Thanks
File yg ter-attach: (file name acak)
Dalam Bahasa Spanyol
Hola como estas ?
Te mando este archivo para que me des tu punto de vista
Atau Espero me puedas ayudar con el archivo que te mando
Atau Espero te guste este archivo que te mando
Atau Este es el archivo con la información que me pediste
Nos vemos pronto, gracias.
Dalam proses eksekusi Trojan ini akan menngcopy dirinya sebagai SCam32.EXE di system directory. Ia juga akan mengcopy dirinya di C:\Recycled\SirC32.EXE. Pada suatu saat ia juga akan " menjatuhkan " file kosong SCD.DLL di system directory. Virus ini akan mencari .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, and .ZIP files di folder my document dan akan berusaha untuk mencoba mengirim dokumen - dokumen tersebut ke semua alamat termasuk yg ter-cache
Solusi :
Pertama, restore system configuration anda melalui registry
 | Di Windows start menu klik run, ketik Regedit, dan tekan enter |
| Di panel sebelah kiri ikuti langkah : HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\RunServices |
| Di panel sebelah kanan cari registry value bernama Driver32 |
| Klik dan tekan tombol delete |
| Di panel sebelah kiri ikuti langkah : HKEY_LOCAL_MACHINE\Software\SirCam |
| Klik SirCam dan tekan Delete |
| Di panel kiri ikuti langkah : HKEY_CLASSES_ROOT\exefile\shell\open\command |
| Di panel sebelah kanan, klik kanan di default value, dan pilih modify |
| Ubahlah “C:\Recycled\SirC32.exe””%1”%*” to “%1”%”. Hapus “C:\Recycled\SirC32.exe”. |
NB: Langkah 7 sampai 9 harus di lakukan sebelum me-remove trojan file tsb, jika tidak executable file akan menjadi tidak bisa dijalankan. Jika trojan ini di-delete maka regedit akan tidak bisa di masuki. Jadi rename regedit.exe menjadi regedit.com dan jalankan regedit. Kemudian ikuti langkah 1 - 9. Jika trojan belum di hapus anda juga dapat menggunakan tool fix_sircam.reg, file ini akan meremove trojan dari registry.
EmoticonEmoticon