Zwykle robak pojawia się w komputerze ofiary w postaci pliku załącznika do listu elektronicznego. skomponowanego losowo z następujących komponentów w dwóch wersjach językowych: angielskiej i hiszpańskiej.

Temat: <nazwa pliku załącznika>

Treść: Hi! How are you?

<losowo jedno z poniższych zdań>

I send you this file in order to have your advice

I hope you can help me with this file that I send

I hope you like the file that I send you

This is the file with the information that you ask for

See you later. Thanks

Załącznik: SirC32.exe lub Tech Specs and Financials.doc.com

Temat: <nazwa pliku załącznika>

Treść: Hola como estas ?

<losowo jedno z poniższych zdań>

Te mando este archivo para que me des tu punto de vista

Espero me puedas ayudar con el archivo que te mando

Espero te guste este archivo que te mando

Este es el archivo con la informacion que me pediste

Nos vemos pronto, gracias.

Załącznik: SirC32.exe lub Tech Specs and Financials.doc.com

Po uruchomieniu przez użytkownika pliku załączniku robak aktywizuje się tworząc własne kopie w plikach o nazwie identycznej jak nazwa pliku załącznika w katalogu tymczasowym oraz w katalogu Kosza - c:\recycled. Następnie kopia na dysku twardym jest uruchamiana.

Zobacz również:

• Google zmienia algorytmy - więcej reklam w Gmailu

Dodatkowo robak tworzy własną kopię w plikach c:\recycled\sirc32.exe oraz scam32.exe w katalogu systemu Windows, a także modyfikuje rejestr tak by kopia w pliku scam32.exe była uruchamiana przy każdym starcie systemu Windows. Ponadto robak tworzy swój własny klucz w rejestrze, w którym przechowuje informacje potrzebne do masowej wysyłki za pomocą poczty elektronicznej: HKEY_LOCAL_MACHINE\Software\SirCam.

Na koniec zmian w rejestrze robak zmienia wartość dotyczącą uruchamiania plików z rozszerzeniami exe, czego efektem jest uruchamianie robaka przy każdym uruchomieniu tego typu pliku.

Sircam tworzy na dysku plik c:\recycled\sircam.sys, w którym umieszcza nieprzerwanie tekst [SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX] aż do momentu zapełnienia całego wolnego miejsca na dysku. Ponadto z prawdopodobieństwem 1 na 20 uruchamiana jest procedura destrukcyjna polegająca na usuwaniu 16 października wszystkich plików z dysku c:.

Do rozsyłania kopii za pomocą poczty elektronicznej robak używa własnego silnika SMTP, natomiast adresy pobiera z plików książek adresowych z rozszerzeniem wab oraz z plików znajdujących się w cache'u przeglądarki internetowej. Dodatkowo poza dołączaniem do wysyłanych przez siebie listów elektronicznych własnych kopii, Sircam dołącza pliki z rozszerzeniami doc, xls, zip, exe znalezione na Pulpicie, umieszczając na ich początku własny kod wykonywalny.

Po 8000 uruchomień robak przerywa swoją działalność.