Konference: Počítač SHARP MZ-800 a emulátory

Od: Zdenek Adler
Datum: 30.7.2001 11:00
Předmět: !!! POZOR VIRUS !!!


Dobry den,

Prosim venujte teto zprave pozornost !!!! Za me nepritomnosti byl muj pocitac
 infikovan virem "I-Worm.Sircam.A" ktery se pravdepodobne rozeslal na vsechny
adresy v mem adresari. V kazdem pripade pokud se jedna o mail s prilohou,
okamzite jej smazejte. Velmi se za to omlouvam a jako dodatek zasilam popis a
postup pro odstraneni viru (AVG jej detekuje az od aktualizace 265).

S pozdravem

Zdenek Adler

P.S.: Jako male odskodneni si stahnete novou verzi emulatoru (tentokrate jiz
nezavirovanou) z http://mz-800.hyperlink.cz

utilita pro jeho odstranění 
I-Worm/Sircam.A
Další roztomilý mazlíček se začal šířit včera ráno (našeho času).
Jde o cca 134kB bubmbrdlíčka napsaného v Delphi. 

Soudě dle zašifrovaných textů pochází z Mexika: 

   [SirCam Version 1.0 Copyright (c) 2001 2rP
   Made in / Hecho en - Cuitzeo, Michoacan Mexico]

Tento text mimochodem obsahuje i v poněkud "odtučněné" verzi:

   [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
Posílá se mailem, který má jako subject jméno přiloženého souboru a
jehož text sestavuje z těchto vět:

   Hi! How are you?
   See you later. Thanks
   I send you this file in order to have your advice
   I hope you can help me with this file that I send
   I hope you like the file that I sendo you
   This is the file with the information that you ask for

Pokud má uživatel ve Windows jako preferovaný jazyk nastavenou
španělštinu, tak se tomu virus přizpůsobí:

   Hola como estas ?
   Nos vemos pronto, gracias.
   Te mando este archivo para que me des tu punto de vista
   Espero me puedas ayudar con el archivo que te mando
   Espero te guste este archivo que te mando
   Este es el archivo con la informacion que me pediste

Přiložený soubor je vytvořen z vlastního těla wormu, za kterým je
připojen náhodně vybraný soubor (archív, dokument, spustitelný soubor)
pocházející z infikovaného počítače. Původní jméno je zachováno, worm
si pouze připojí další příponu (pif, lnk, bat nebo com).

Po spuštění se Sircam nakopíruje do několika různých adresářů pod
různými jmény:

   SirC32.exe, SCam32.exe, SirC32.exe, ScMx32.exe,
   Microsoft Internet Office.exe a rundll32.exe

Poté zrekonstruuje kopii dokumentu, pod jehož jménem dorazil a pokud jde o
EXE file, tak ho rovnou spustí (ve snaze nebýt příliš nápadný). Pro
ostatní typy souboru se pokusí v

HKLM\'\'Software\'\'Microsoft\'\'Windows\'\'CurrentVersion\'\'App Paths\'\'

najít vhodnou aplikaci k otevření: Winzip pro .ZIP soubory, Excel pro .XLS a 
WinWord (nebo alespoň WordPad) pro .DOC.

Své pravidelné spouštění při startu počítače se snaží si zajistit
zápisem do hodnoty Driver32 klíče

HKLM\'\'Software\'\'Microsoft\'\'Windows\'\'CurrentVersion\'\'RunServices\'\'

a modifikací klíče

HKCR\'\'exefile\'\'shell\'\'open\'\'command

(stejný trik používá například I-Worm/PrettyPark).

Jako většina novějších virů se i tento umí šířit po sdílených
discích v rámci lokální sítě. Na namapovaných discích preferuje
adresáře \'\'recycled a \'\'windows a své spouštění se pokusí zajistit
vložením řádky  tu byla ta zakroucena vec win a odkazem na virus do \'\'autoexec.bat nebo tím, že
zamění systémový soubor rundll32.exe svou kopii.

Upozornění: Nemažte prosím soubory viru dříve, než opravíte záznam v
registru - nebyli byste potom schopni spustit žádný .exe soubor!

AVG ho detekuje od aktualizace 265.


---
Odchozí zpráva neobsahuje viry.
Zkontrolováno antivirovým systémem AVG (http://www.grisoft.cz).
Verze: 6.0.265 / Virová báze: 137 - datum vydání: 18.7.2001

Ostatní příspěvky vlákna:

 
[2001/1 (202)] [2001/2 (75)] [2001/3 (19)] [2001/4 (29)] [2001/5 (22)] [2001/7 (19)] [2001/8 (101)] [2001/9 (146)] [2001/10 (61)] [2001/11 (48)] [2001/12 (11)]


[1999 (1)] [2000 (168)] [2001 (733)] [2002 (459)] [2003 (654)] [2004 (224)] [2005 (105)] [2006 (182)] [2007 (201)] [2008 (294)] [2009 (363)] [2010 (782)] [2011 (522)] [2012 (642)] [2013 (442)]