Al infectar un ordenador, el virus se copia a sí mismo con el nombre «sirc32.exe» a la carpeta RECYCLED que es el nombre con el que Windows llama a la Papelera de Reciclaje. Este sistema de ocultación es ingenioso porque algunos antivirus, entre los que NO se encuentra el AVP, no comprueban dicha carpeta por defecto. Además, crea una copia de sí mismo en el archivo «scam32.exe» en la carpeta WINDOWSSYSTEM
También modifica el registro para que ambos programas se ejecuten continuamente, el scam32.exe cada vez que arranca el ordenador, y el sirc32.exe cada vez que se ejecuta un programa EXE. Este método de autoinstalarse para ejecutarse cada vez que se intenta ejecutar un programa EXE también fué utilizado en su momento por el popular virus NAVIDAD.
Dependiendo de ciertas condiciones aleatorias, el virus también se copia a sí mismo en la carpeta WINDOWS con el nombre «ScMx32.exe» y el la carpeta de Inicio con el nombre «Microsoft Internet Office.exe». Estos dos archivos no son creados siempre, sino solo de forma aleatoria.
Finalmente, el virus renombra un archivo del sistema de Windows, el RUNDLL32.EXE como RUN32.EXE y se copia a s¡ mismo una vez mas, esta vez con el nombre robado de RUNDLL32.EXE
Por si fuera poco, el virus tambi’n se reproduce a trav’s de la red local. Todos los ordenadores que est’n conectados al ordenador infectado reciben una copia del archivo Sirc32.exe en la carpeta RECYCLED, y el virus modifica los AUTOEXEC.BAT de los ordenadores remotos para incluir la l¡nea:
@win recycledSirC32.exe
… que asegura que el virus se ejecute durante el siguiente reinicio del ordenador.
El peligro del virus radica en que dependiendo de la fecha y la hora del sistema, el gusano borra informaci¢n del disco duro. En una de cada 20 ejecuciones borra todos los archivos de la carpeta WINDOWS y todas las subcarpetas que all¡ encuentre.
En una de cada 50 ejecuciones, el virus crea el fichero SIRCAM.SYS en el directorio raiz del disco duro y escribe uno de los siguientes textos:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX] [SirCam Version 1.0 Copyright » 2001 2rP Made in / Hecho en – Cuitzeo, Michoacan Mexico]
El virus escribe este texto en el fichero hasta que ocupa todo el espacio libre del disco duro.
