Konference: Počítač SHARP MZ-800 a emulátory
Od: | Zdenek Adler |
Datum: | 30.7.2001 11:00 |
Předmět: | !!! POZOR VIRUS !!! |
Dobry den, Prosim venujte teto zprave pozornost !!!! Za me nepritomnosti byl muj pocitac infikovan virem "I-Worm.Sircam.A" ktery se pravdepodobne rozeslal na vsechny adresy v mem adresari. V kazdem pripade pokud se jedna o mail s prilohou, okamzite jej smazejte. Velmi se za to omlouvam a jako dodatek zasilam popis a postup pro odstraneni viru (AVG jej detekuje az od aktualizace 265). S pozdravem Zdenek Adler P.S.: Jako male odskodneni si stahnete novou verzi emulatoru (tentokrate jiz nezavirovanou) z http://mz-800.hyperlink.cz utilita pro jeho odstranění I-Worm/Sircam.A Další roztomilý mazlíček se začal šířit včera ráno (našeho času). Jde o cca 134kB bubmbrdlíčka napsaného v Delphi. Soudě dle zašifrovaných textů pochází z Mexika: [SirCam Version 1.0 Copyright (c) 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico] Tento text mimochodem obsahuje i v poněkud "odtučněné" verzi: [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX] Posílá se mailem, který má jako subject jméno přiloženého souboru a jehož text sestavuje z těchto vět: Hi! How are you? See you later. Thanks I send you this file in order to have your advice I hope you can help me with this file that I send I hope you like the file that I sendo you This is the file with the information that you ask for Pokud má uživatel ve Windows jako preferovaný jazyk nastavenou španělštinu, tak se tomu virus přizpůsobí: Hola como estas ? Nos vemos pronto, gracias. Te mando este archivo para que me des tu punto de vista Espero me puedas ayudar con el archivo que te mando Espero te guste este archivo que te mando Este es el archivo con la informacion que me pediste Přiložený soubor je vytvořen z vlastního těla wormu, za kterým je připojen náhodně vybraný soubor (archív, dokument, spustitelný soubor) pocházející z infikovaného počítače. Původní jméno je zachováno, worm si pouze připojí další příponu (pif, lnk, bat nebo com). Po spuštění se Sircam nakopíruje do několika různých adresářů pod různými jmény: SirC32.exe, SCam32.exe, SirC32.exe, ScMx32.exe, Microsoft Internet Office.exe a rundll32.exe Poté zrekonstruuje kopii dokumentu, pod jehož jménem dorazil a pokud jde o EXE file, tak ho rovnou spustí (ve snaze nebýt příliš nápadný). Pro ostatní typy souboru se pokusí v HKLM\'\'Software\'\'Microsoft\'\'Windows\'\'CurrentVersion\'\'App Paths\'\' najít vhodnou aplikaci k otevření: Winzip pro .ZIP soubory, Excel pro .XLS a WinWord (nebo alespoň WordPad) pro .DOC. Své pravidelné spouštění při startu počítače se snaží si zajistit zápisem do hodnoty Driver32 klíče HKLM\'\'Software\'\'Microsoft\'\'Windows\'\'CurrentVersion\'\'RunServices\'\' a modifikací klíče HKCR\'\'exefile\'\'shell\'\'open\'\'command (stejný trik používá například I-Worm/PrettyPark). Jako většina novějších virů se i tento umí šířit po sdílených discích v rámci lokální sítě. Na namapovaných discích preferuje adresáře \'\'recycled a \'\'windows a své spouštění se pokusí zajistit vložením řádky tu byla ta zakroucena vec win a odkazem na virus do \'\'autoexec.bat nebo tím, že zamění systémový soubor rundll32.exe svou kopii. Upozornění: Nemažte prosím soubory viru dříve, než opravíte záznam v registru - nebyli byste potom schopni spustit žádný .exe soubor! AVG ho detekuje od aktualizace 265. --- Odchozí zpráva neobsahuje viry. Zkontrolováno antivirovým systémem AVG (http://www.grisoft.cz). Verze: 6.0.265 / Virová báze: 137 - datum vydání: 18.7.2001
Ostatní příspěvky vlákna:
[2001/1 (202)] [2001/2 (75)] [2001/3 (19)] [2001/4 (29)] [2001/5 (22)] [2001/7 (19)] [2001/8 (101)] [2001/9 (146)] [2001/10 (61)] [2001/11 (48)] [2001/12 (11)]
[1999 (1)]
[2000 (168)]
[2001 (733)]
[2002 (459)]
[2003 (654)]
[2004 (224)]
[2005 (105)]
[2006 (182)]
[2007 (201)]
[2008 (294)]
[2009 (363)]
[2010 (782)]
[2011 (522)]
[2012 (642)]
[2013 (442)]