Konference: Počítač SHARP MZ-800 a emulátory

Od: Anonym
Datum: 30.7.2001 17:48
Předmět: Re: !!! POZOR VIRUS !!!


Ahoj Zdeněk,

mám tomu rozumieť tak, že predošlá verzia EMU bola zavírená?

Marek.

----- Original Message -----
From: "Zdenek Adler - Počítač SHARP MZ-800 a emulátory" <zdeneka tu byla ta zakroucena vec seznam.cz>
To: "Účastníci konference Počítač SHARP MZ-800 a emulátory"
<sharpemu tu byla ta zakroucena vec pandora.cz>
Sent: Monday, July 30, 2001 12:00 PM
Subject: !!! POZOR VIRUS !!!


> Dobry den,
>
> Prosim venujte teto zprave pozornost !!!! Za me nepritomnosti byl muj
pocitac infikovan virem "I-Worm.Sircam.A" ktery se pravdepodobne rozeslal na
vsechny adresy v mem adresari. V kazdem pripade pokud se jedna o mail s
prilohou, okamzite jej smazejte. Velmi se za to omlouvam a jako dodatek
zasilam popis a postup pro odstraneni viru (AVG jej detekuje az od
aktualizace 265).
>
> S pozdravem
>
> Zdenek Adler
>
> P.S.: Jako male odskodneni si stahnete novou verzi emulatoru (tentokrate
jiz nezavirovanou) z http://mz-800.hyperlink.cz
>
> utilita pro jeho odstranění
> I-Worm/Sircam.A
> Další roztomilý mazlíček se začal šířit včera ráno (našeho času).
 Jde o
cca 134kB bubmbrdlíčka napsaného v Delphi.
>
> Soudě dle zašifrovaných textů pochází z Mexika:
>
>    [SirCam Version 1.0 Copyright (c) 2001 2rP
>    Made in / Hecho en - Cuitzeo, Michoacan Mexico]
>
> Tento text mimochodem obsahuje i v poněkud "odtučněné" verzi:
>
>    [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
> Posílá se mailem, který má jako subject jméno přiloženého souboru a
jehož
text sestavuje z těchto vět:
>
>    Hi! How are you?
>    See you later. Thanks
>    I send you this file in order to have your advice
>    I hope you can help me with this file that I send
>    I hope you like the file that I sendo you
>    This is the file with the information that you ask for
>
> Pokud má uživatel ve Windows jako preferovaný jazyk nastavenou
španělštinu, tak se tomu virus přizpůsobí:
>
>    Hola como estas ?
>    Nos vemos pronto, gracias.
>    Te mando este archivo para que me des tu punto de vista
>    Espero me puedas ayudar con el archivo que te mando
>    Espero te guste este archivo que te mando
>    Este es el archivo con la informacion que me pediste
>
> Přiložený soubor je vytvořen z vlastního těla wormu, za kterým je
připojen
náhodně vybraný soubor (archív, dokument, spustitelný soubor)
pocházející z
infikovaného počítače. Původní jméno je zachováno, worm si pouze
připojí
další příponu (pif, lnk, bat nebo com).
>
> Po spuštění se Sircam nakopíruje do několika různých adresářů pod
různými
jmény:
>
>    SirC32.exe, SCam32.exe, SirC32.exe, ScMx32.exe,
>    Microsoft Internet Office.exe a rundll32.exe
>
> Poté zrekonstruuje kopii dokumentu, pod jehož jménem dorazil a pokud jde o
EXE file, tak ho rovnou spustí (ve snaze nebýt příliš nápadný). Pro
ostatní
typy souboru se pokusí v
>
> HKLM\'\'Software\'\'Microsoft\'\'Windows\'\'CurrentVersion\'\'App Paths\'\'
>
> najít vhodnou aplikaci k otevření: Winzip pro .ZIP soubory, Excel pro .XLS
a WinWord (nebo alespoň WordPad) pro .DOC.
>
> Své pravidelné spouštění při startu počítače se snaží si zajistit
zápisem
do hodnoty Driver32 klíče
>
> HKLM\'\'Software\'\'Microsoft\'\'Windows\'\'CurrentVersion\'\'RunServices\'\'
>
> a modifikací klíče
>
> HKCR\'\'exefile\'\'shell\'\'open\'\'command
>
> (stejný trik používá například I-Worm/PrettyPark).
>
> Jako většina novějších virů se i tento umí šířit po sdílených
discích v
rámci lokální sítě. Na namapovaných discích preferuje adresáře
\'\'recycled a
\'\'windows a své spouštění se pokusí zajistit vložením řádky  tu byla ta zakroucena vec win a
odkazem
na virus do \'\'autoexec.bat nebo tím, že zamění systémový soubor
rundll32.exe
svou kopii.
>
> Upozornění: Nemažte prosím soubory viru dříve, než opravíte záznam v
registru - nebyli byste potom schopni spustit žádný .exe soubor!
>
> AVG ho detekuje od aktualizace 265.
>
>
> ---
> Odchozí zpráva neobsahuje viry.
> Zkontrolováno antivirovým systémem AVG (http://www.grisoft.cz).
> Verze: 6.0.265 / Virová báze: 137 - datum vydání: 18.7.2001
>
>
>
> ---
> Bajecny novy obchod s mobilnimi telefony Go a Twist najdete na
http://www.telstore.cz - vyzkousejte a kupujte lacino!
> --------------------------------------------------------------------------
> Informace o odhlaseni najdete na
http://www.pandora.cz/howto-leaveconf.php3
>

Ostatní příspěvky vlákna:

 
[2001/1 (202)] [2001/2 (75)] [2001/3 (19)] [2001/4 (29)] [2001/5 (22)] [2001/7 (19)] [2001/8 (101)] [2001/9 (146)] [2001/10 (61)] [2001/11 (48)] [2001/12 (11)]


[1999 (1)] [2000 (168)] [2001 (733)] [2002 (459)] [2003 (654)] [2004 (224)] [2005 (105)] [2006 (182)] [2007 (201)] [2008 (294)] [2009 (363)] [2010 (782)] [2011 (522)] [2012 (642)] [2013 (442)]