sircam worm

[razvi]

http://www.symantec.com/avcenter/ven...m.worm@mm.html

In mod normal nu i-as fi acordat atentie, dar cum l-am primit de cinci ori in 48h pe contul de la home.ro, banuiesc ca deja exista multi "posesori".

[Oby One]

Felicitari razvi
acum ca esti posesorul acestul vierme ce vrei sa faci cu el ?

il cresti ?

cu ce in hranesti

am auzit ca mananca in special exe uri

[Speedo]

razvi, trimite-l la mine!

Greets,
speedo@gmx.co.uk

[Magnum]

Quote:

Originally posted by Oby One
...am auzit ca mananca in special exe uri

wrong! mananca hdd.

[Sammy[BOFH]]

Hehe... l-am primit si eu...
am ramas uimit de marime... vreo 700 si ceva de K...
pe linux, normal : )
era nustiuce.doc.pif
partea cea mai funny a fost cand am vrut sa-l salvez pe hdd (banuiam ca e un virus, ceva, dar am zis sa vad ce e de capu' lui, fiind linux): base64 error nu's ce... si nu l-a salvat... asa ca delete, pa si la revedere... virusi de kkt

[True_Merlin]

Nume: I-Worm.Sircam.A
Alias: W32.Sircam.Worm@mm, W32/SirCam@mm, Backdoor.SirCam
Tip: Win32 worm
Risc: mediu
In the Wild: DA

Descriere:

I-Worm.Sircam.A este un vierme de internet si retea asemanator cu
I-Worm.Magistr.A Virusul se raspandeste prin e-mail folosind propria sa rutina SMTP, trimitandu-se la adresele din Address Book si cele din cache sau prin directoarele shared din retea.
El vine printr-un mesaj cu un subiect si corp ales la intamplare atasamentul fiind un amestec intre rutina de infectie a virusului si un fisier ales la intamplare din My Documents. Numele original al fisierului se pastreaza, dar se adauga o extensie executabila (.pif; .exe; .lnk).
Utilizatorii care nu au activata optiunea de vizualizare a extensiei
atasamentelor vor vedea doar extensia originala si pot fi usor pacaliti.

Mesajul e-mail-ului are urmatoarea forma:

Subject: Document file name (without extension)
From: [user_of_infected_machine@prodigy.net.mx]
To: [random@email.from.address.book]

Hi! How are you?

I send you this file in order to have your advice

sau: I hope you can help me with this file that I send
I hope you like the file that I send you
This is the file with the information that you ask for

See you later! Thanks

sau, in limba spaniola:

Subject: Document file name (without extension)
From: [user_of_infected_machine@prodigy.net.mx]
To: [random@email.from.address.book]

Hola como estas ?

Te mando este archivo para que me des tu punto de vista

sau: Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste

Nos vemos pronto, gracias.

Daca atasamentul este deschis, viermele se copiaza in directorul sistem cu numele de scam32.exe. De asemenea se copiaza in directorul
"Recycled" cu numele de sirc32.exe, care este un fisier ascuns. Apoi virusul creeaza urmatoarele chei in registri:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services cu valoarea Driver32 = %System%\scam32.exe
pentru a se accesa odata cu pornirea Windowsului, si
HKLM\SOFTWARE\Classes\exefile\shell\open\command cu valoarea
C:\Recycled\sirc32.exe "%1" %*"
pentru a se executa rutina de infectie inaintea oricarui alt fisier EXE.

In cazul in care gaseste directoare shared in retea va incerca sa se copieze in directorul Windows local sub numele rundll32.exe
Fisierul original este redenumit ca si run32.exe. Daca aceasta actiune a viermelui reuseste, el modifica fisierul autoexec.bat prin includerea unei noi comenzi care-i permite sa execute fisierul salvat anterior in directorul Windows.

Ca si "semnatura" a virusului, autorul a introdus intr-o forma criptata urmatorul text:

[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright 2001 2rP Made in / Hecho en - Cuitzeo,
Michoacan Mexico]

Instructiuni de dezinfectie:

Pasul 1.
Deschideti registry editorul ( Start>Run si scrieti regedit );
Pasul 2.
Selectati cheia :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices si
stergeti cheia Driver32 cu valoarea:
"%windows-system%\Scam32.exe";
Pasul 3.
Cheile: HKEY_CLASSES_ROOT\exefile\shell\open\command\ (default) si
HKEY_LOCAL_MACHINE \Software\Classes\exefile\shell\open\command\ (default)
trebuie setate la valoarea : "%1" %* ;
Pasul 4.
Stergeti cheia: HKEY_LOCAL_MACHINE \Software\SirCam (cu toate valorile
continute) ;
Pasul 5.
Restartati sistemul;
Pasul 6.
Stergeti fisierele: sirc32.exe (se afla in directorul c:\Recycled) si
scam32.exe (aflat in directorul c:\windows);

Pentru a dezinfecta un calculator infectat prin retea trebuie sa redenumiti fisierul \Windows\run32.exe in \Windows\rundll32.exe (daca exista).
De asemenea, trebuie stearsa linia "@win \Recycled\SirC32.exe" din
autoexec.bat si fisierul \Recycled\sirc32.exe .

[sirdream]

Tocmai am primit si eu 2 mailuri
Unul de 200k iar altul de 1,5 Mb !!!!!!!!!

Ideea e ca trebuie sa te uiti la formatul atasamentului.. indiferent de text.. Subiectul si textul pot varia f. mult..
La mine era odata ceva.doc.com si celalalt ceva.exe.pif
Daca primiti asemenea atasuri.. e mai bine sa dati delete din prima .. Also AVP ( KAV) stie deja virusul..

[Ageamiu]

Foarte bine ca ati pus problema. Symantec ofera gratis scula de ras: "FixSirc.com" de la http://www.sarc.com/avcenter/FixSirc.com. Pe www.symantec.com sunt instructiuni detaliate cum se foloseste.

[sirdream]

"Starasciuc Cristi" <cristi@openlink.ro> Aste e unul din afectati
Tot nu inteleg ce cauta adresa mea de mail la el ?!!? Huh
500k .. una bucata virus..
Oricum.. eu zic ca tre' sa fii si putin prost sa iei un asemenea virus..

[razvi]

evident

Speedo, m-am gindit sa-i dau fw pe tot ABook-ul, dar... nah !

[GabiS]

Eu am primit de la cmariana@pcnet.ro ( nici nu o cunosc ) un mail cu urmatorul mesaj :
"Hi! How are you?

I send you this file in order to have your advice

See you later. Thanks
"

la proprietati zice ca are 3 fisiere atasate de 383k .
Subject : fax_template_snow

fisier atasat fax_template_snow.doc.lnk(286kb)

E tot asta de ziceti voi sau e altul?

[razvi]

Tot de la individul cu cont la openlink am primit si eu, chiar acum. Are atasat un fisier (excel la origine) care contine o lista de produse, cred...
Preturi_cosmetice_parfumuri_caf  Tarife_Transport (asta e prin interior, numele fisierului era ceva.xls.lnk, cu header de executabil).
Probabil ca tipul are adresa de pe forum

Gabis, asta e... Se recunoaste dupa textul

Quote:

Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks

in engleza, spaniola, franceza (in versiunile astea l-am primit eu).

Din cite imi amintesc, "virusul" alege un fisier din My Documents si il trimite la persoanele din AB. Detalii gasesti la Symantec si celilalti producatori de soft antiviral.

[Mr. Grumpy]

ce i-as face eu vacii care mi-a trimis pana acum 12 atachuri a cate 300 k !!! hua , bai , m-am saturat !!!

[Oby One]

gata
a venit si la mine

am dat save e hdd
pornit avp

avp NU a vazut nimic
asa ca schimbat extensie si pus la pastrare

plus dat mail de avertizare tipului care nu stiu de unde ma avea el in db ul lui

[arici]

si io tot de la cmariana@pcnet.ro am primit virusul.
Cand am vazut extensia pif am zis ca gacica mi- fi trimis din greseala la atasament un shortcut in loc de cine stie ce document.
Oricum am The Bat! care se lauda ca e imun la asemenea prostii.Am salvat atasamentul si avea 0 kb.Ce dracu virus e asta?

P.S Who the hell is cmariana?

[sirdream]

Quote:

Originally posted by Oby One
gata
a venit si la mine

am dat save e hdd
pornit avp

avp NU a vazut nimic
asa ca schimbat extensie si pus la pastrare

plus dat mail de avertizare tipului care nu stiu de unde ma avea el in db ul lui

Cuvantul UPDATE iti spune ceva ?!?
AVP il vede de cand a aparut...

[Leap Attack]

guppi, nu to(n)ti folosesc un antivirus, asta e
e f.trist sa fii pe dial-up si sa tot iei la mesaje kilometrice

[Mr. Grumpy]

La dracu !!!!

Bai fata aia e dobitoaca , de mult n-am mai avut asa nervi ... eu folosesc mail de la yahoo ..ieri aveam contul gol ..azi mi-a umplut cretina 7 mega si n-am mai primit mailuri noi,cine stie ce chestii importante am pierdut !

Eu nu folosesc nici un antivirus .. nu mi-e greu sa le sterg direct dar sa imi pierd eu mailuri bune ca nu mai am spatiu din cauza unei cretine !!! aaaaargghhhh

[razvi]

Pune un filtru...

[BT]

Da-i un mailbomb