Cómo actúa el virus
W32/Sircam es un gusano que se propaga a través del correo electrónico enviándose a los contactos de la libreta de direcciones de Outlook. Una vez que el gusano se ha instalado en el sistema, modifica el registro de Windows para asegurar su presencia cada vez que se ejecute un archivo con extensión EXE.

Su rutina de propagación es la habitual en este tipo de virus: se reenvía a los contactos de la libreta de direcciones de Outlook.

El mensaje que utiliza para su propagación tiene las siguientes características:

Asunto: lo asigna aleatoriamente tomándolo de otros mensajes

Texto generalmente usa un mensaje de este tipo:
Hola como estas?
Te mando este archivo para que me des tu punto de vista
Nos vemos pronto, gracias.

Se han extendido también versiones en inglés:
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks

Archivo adjunto: el fichero que se envía tiene también diferentes formatos. Por lo general W32/Sircam utiliza algún archivo del ordenador infectado, lo modifica añadiendo su propia extensión y lo envía. La doble extensión La extensión del archivo que se adjunta puede ser .TXT .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .ZIP, .PNG..., mientras que la oculta será .PIF, .BAT, .COM o .EXE. Al incorporar la doble extensión el engaño será perfecto, las configuraciones por defecto de Windows sólo verán la primera.

Al ser ejecutado el archivo adjunto, W32/Sircam se instala en la seguridad de la Papelera de Windows, un lugar al que no llegan muchos antivirus en sus configuraciones por defecto.

Al mismo tiempo modifica el registro y se instala en la carpeta del sistema de Windows. Una vez asegurada su pervivencia en el ordenador infectado comienza a recopilar información para llegar a nuevas víctimas: examina las carpetas de Mis Documentos buscando archivos con extenxiones que pueda modificar para incluirlos como adjuntos en sus próximas correrías y recopila direcciones de correo electrónico para autoenviarse.