El I-Worm.Sircam.c aparece con un "subject" de un antiguo correo y con un mensaje del tipo: "Hola como estas ? Te mando este archivo para que me des tu punto de vista Nos vemos pronto, gracias". Además, la extensión del archivo no aparece como .exe o .vbs, los dos más reconocidos como "transportadores de virus".

La primera extensión del archivo que se adjunta puede ser .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, o .ZIP, mientras que la última y realmente importante puede ser .BAT, .COM, .EXE, .LNK o .PIF. En la configuración por defecto de Windows la segunda extensión no se visualizaría, lo que sin duda puede lograr engañar a los usuarios haciéndoles creer que se trata de un documento inofensivo, según informa Hispasec.

Reproducimos a continuación la información contenida en el boletín de AVP:

"El gusano I-Worm.Sircam.c es extremadamente peligroso, por lo que es recomendable que se actualicen los antivirus a la mayor brevedad.  En la mañana del miércoles 18 se ha realizado una actualización especial alrededor de las 12:00h hora de España con lo que todos los usuarios que hayan actualizado después de esa hora ya tienen protección contra el virus.

Al infectar un ordenador, el virus se copia a sí mismo con el nombre "sirc32.exe" a la carpeta RECYCLED que es el nombre con el que Windows llama a la Papelera de Reciclaje. Este sistema de ocultación es ingenioso porque algunos antivirus, entre los que NO se encuentra el AVP, no comprueban dicha carpeta por defecto. Además, crea una copia de sí mismo en el archivo "scam32.exe" en la carpeta WINDOWSSYSTEM.

También modifica el registro para que ambos programas se ejecuten continuamente, el scam32.exe cada vez que arranca el ordenador, y el sirc32.exe cada vez que se ejecuta un programa EXE. Este método de autoinstalarse para ejecutarse cada vez que se intenta ejecutar un programa EXE también fue utilizado en su momento por el popular virus NAVIDAD.

Dependiendo de ciertas condiciones aleatorias, el virus también se copia a  sí mismo en la carpeta WINDOWS con el nombre "ScMx32.exe" y el la carpeta de Inicio con el nombre "Microsoft Internet Office.exe". Estos dos archivos no son creados siempre, sino solo de forma aleatoria. Finalmente, el virus renombra un archivo del sistema de Windows, el RUNDLL32.EXE como RUN32.EXE y se copia a sí mismo una vez mas, esta vez con el nombre robado de RUNDLL32.EXE

El virus también se reproduce a través de la red local. Todos los ordenadores que estén conectados al ordenador infectado reciben  una copia del archivo Sirc32.exe en la carpeta RECYCLED, y el virus modifica los AUTOEXEC.BAT de los ordenadores remotos para incluir la línea  @win recycledSirC32.exe, que asegura que el virus se ejecute durante el siguiente reinicio del ordenador. El peligro del virus radica en que dependiendo de la fecha y la hora del sistema, el gusano borra información del disco duro.

En una de cada 20 ejecuciones borra todos los archivos de la carpeta WINDOWS y todas las subcarpetas que allí encuentre. En una de cada 50 ejecuciones, el virus crea el fichero SIRCAM.SYS en el directorio raíz del disco duro y escribe uno de los siguientes textos:  [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]  [SirCam Version 1.0 Copyright © 2001 2rP Made in / Hecho en - Cuitzeo,  Michoacan Mexico] El virus escribe este texto en el fichero hasta que ocupa todo el espacio libre del disco duro". 

http://iblnews.com/news/noticia.php3?id=19197