Konference: Počítač SHARP MZ-800 a emulátory
Od: | Anonym |
Datum: | 30.7.2001 17:48 |
Předmět: | Re: !!! POZOR VIRUS !!! |
Ahoj Zdeněk, mám tomu rozumieť tak, že predošlá verzia EMU bola zavírená? Marek. ----- Original Message ----- From: "Zdenek Adler - Počítač SHARP MZ-800 a emulátory" <zdeneka tu byla ta zakroucena vec seznam.cz> To: "Účastníci konference Počítač SHARP MZ-800 a emulátory" <sharpemu tu byla ta zakroucena vec pandora.cz> Sent: Monday, July 30, 2001 12:00 PM Subject: !!! POZOR VIRUS !!! > Dobry den, > > Prosim venujte teto zprave pozornost !!!! Za me nepritomnosti byl muj pocitac infikovan virem "I-Worm.Sircam.A" ktery se pravdepodobne rozeslal na vsechny adresy v mem adresari. V kazdem pripade pokud se jedna o mail s prilohou, okamzite jej smazejte. Velmi se za to omlouvam a jako dodatek zasilam popis a postup pro odstraneni viru (AVG jej detekuje az od aktualizace 265). > > S pozdravem > > Zdenek Adler > > P.S.: Jako male odskodneni si stahnete novou verzi emulatoru (tentokrate jiz nezavirovanou) z http://mz-800.hyperlink.cz > > utilita pro jeho odstranění > I-Worm/Sircam.A > Další roztomilý mazlíček se začal šířit včera ráno (našeho času). Jde o cca 134kB bubmbrdlíčka napsaného v Delphi. > > Soudě dle zašifrovaných textů pochází z Mexika: > > [SirCam Version 1.0 Copyright (c) 2001 2rP > Made in / Hecho en - Cuitzeo, Michoacan Mexico] > > Tento text mimochodem obsahuje i v poněkud "odtučněné" verzi: > > [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX] > Posílá se mailem, který má jako subject jméno přiloženého souboru a jehož text sestavuje z těchto vět: > > Hi! How are you? > See you later. Thanks > I send you this file in order to have your advice > I hope you can help me with this file that I send > I hope you like the file that I sendo you > This is the file with the information that you ask for > > Pokud má uživatel ve Windows jako preferovaný jazyk nastavenou španělštinu, tak se tomu virus přizpůsobí: > > Hola como estas ? > Nos vemos pronto, gracias. > Te mando este archivo para que me des tu punto de vista > Espero me puedas ayudar con el archivo que te mando > Espero te guste este archivo que te mando > Este es el archivo con la informacion que me pediste > > Přiložený soubor je vytvořen z vlastního těla wormu, za kterým je připojen náhodně vybraný soubor (archív, dokument, spustitelný soubor) pocházející z infikovaného počítače. Původní jméno je zachováno, worm si pouze připojí další příponu (pif, lnk, bat nebo com). > > Po spuštění se Sircam nakopíruje do několika různých adresářů pod různými jmény: > > SirC32.exe, SCam32.exe, SirC32.exe, ScMx32.exe, > Microsoft Internet Office.exe a rundll32.exe > > Poté zrekonstruuje kopii dokumentu, pod jehož jménem dorazil a pokud jde o EXE file, tak ho rovnou spustí (ve snaze nebýt příliš nápadný). Pro ostatní typy souboru se pokusí v > > HKLM\'\'Software\'\'Microsoft\'\'Windows\'\'CurrentVersion\'\'App Paths\'\' > > najít vhodnou aplikaci k otevření: Winzip pro .ZIP soubory, Excel pro .XLS a WinWord (nebo alespoň WordPad) pro .DOC. > > Své pravidelné spouštění při startu počítače se snaží si zajistit zápisem do hodnoty Driver32 klíče > > HKLM\'\'Software\'\'Microsoft\'\'Windows\'\'CurrentVersion\'\'RunServices\'\' > > a modifikací klíče > > HKCR\'\'exefile\'\'shell\'\'open\'\'command > > (stejný trik používá například I-Worm/PrettyPark). > > Jako většina novějších virů se i tento umí šířit po sdílených discích v rámci lokální sítě. Na namapovaných discích preferuje adresáře \'\'recycled a \'\'windows a své spouštění se pokusí zajistit vložením řádky tu byla ta zakroucena vec win a odkazem na virus do \'\'autoexec.bat nebo tím, že zamění systémový soubor rundll32.exe svou kopii. > > Upozornění: Nemažte prosím soubory viru dříve, než opravíte záznam v registru - nebyli byste potom schopni spustit žádný .exe soubor! > > AVG ho detekuje od aktualizace 265. > > > --- > Odchozí zpráva neobsahuje viry. > Zkontrolováno antivirovým systémem AVG (http://www.grisoft.cz). > Verze: 6.0.265 / Virová báze: 137 - datum vydání: 18.7.2001 > > > > --- > Bajecny novy obchod s mobilnimi telefony Go a Twist najdete na http://www.telstore.cz - vyzkousejte a kupujte lacino! > -------------------------------------------------------------------------- > Informace o odhlaseni najdete na http://www.pandora.cz/howto-leaveconf.php3 >
Ostatní příspěvky vlákna:
[2001/1 (202)] [2001/2 (75)] [2001/3 (19)] [2001/4 (29)] [2001/5 (22)] [2001/7 (19)] [2001/8 (101)] [2001/9 (146)] [2001/10 (61)] [2001/11 (48)] [2001/12 (11)]
[1999 (1)]
[2000 (168)]
[2001 (733)]
[2002 (459)]
[2003 (654)]
[2004 (224)]
[2005 (105)]
[2006 (182)]
[2007 (201)]
[2008 (294)]
[2009 (363)]
[2010 (782)]
[2011 (522)]
[2012 (642)]
[2013 (442)]