Forum » Omrežja in internet » Resno opozorilo - virus SIRCAM
Resno opozorilo - virus SIRCAM
gkovac ::
Najbolj neprijetni so počitniški virusi. Človek vzame dan ali dva dopusta in že je vse narobe. Zadnji internetni črv W32/Sircam-A je prava nadloga. Črv se razpošilja preko elektronske pošte in z uporabo mrežnih pogonov v
skupni rabi (share). Črv se pojavlja kot elektronska pošta z naključnim naslovom (Subject) in priponko, katere ime je enako naslovu pošte. Pripeta datoteka ima torej naključno ime, vedno pa ima dvojno končnico. (npr.
DOC.COM ali MPG.PIF). Ko uporabnik odpre priponko, se črv kopira v Windows sistemski imenik kot datoteka z imenom scam32.exe. V imenik Recycled se skopira z imenom sirc32.exe in datoteko označi z atributom Hidden (datoteko skrije). Črv spremeni tudi register, tako da se zažene ob vsakem zagonu Windowsom in ob vsakem zagonu EXE datotek! Črv tudi išče razpoložljive imenike v skupni rabi (v Microsoft omrežju) in na Windows imeniku
računalnika, ki ponuja v skupno rabo Windows imenik, prepiše datoteko rundll32.exe, izvorno verzijo pa preimenuje v run32.exe. Če mu to uspe, črv spremeni tudi datoteko autoexec.bat, tako da od tam zažene svojo kopijo, ki se nahaja v c:Recycled imeniku. Vse to so zvijače, ki smo jih v podobnih izvedbah vajeni pri ostalih internetnih črvih. Virus je nevaren predvsem zato, ker ima (podobno kot W32/Magistr-A) lastno SMTP rutino, tako da zna razpošiljati pošto sam (brez uporabe MS Outlook-a). Ne more pa (tako kot tudi Magistr-A pred njim ni mogel) uporabiti sezname naslovnikov iz Lotus Notesa, marveč samo Windows poštne sezname na lokalni delovni postaji (v datotekah *.WAB). Okužena pošto uporabniki prepoznajo po prvi in zadnji vrstici, ki sta vedno enaki in sicer:
"Hi! How are you?" na začetku in
"See you later. Thanks" na koncu.
Vmes se se pojavijo še štirje stavki v angleščini. Obstaja tudi španska različica, ki pa se pojavi samo v španskih Windowsih. Pripeta je datoteka z okuženega pošiljateljevega računalnika z dvojnim podaljškom, naprimer
dokument.DOC.EXE, arhiv.ZIP.COM, slika.JPG.PIF, ... Končnice so '.EXE', '.COM', '.BAT', '.PIF' in '.LNK'. Črv datoteke pobira v uporabnikovem imeniku 'My Documents'. Ker ta imenik pogosto vsebuje zasebne ali poslovne datoteke, to pomeni, da črv lahko razpošilja zaupne dokumente.
Virus se aktivira 16 oktobra, ko obstaja možnost 1:20, da bo črv poskušal pobrisati vse datoteke na trdem disku.
Predlagam, da takoj izvedete posodobitev sistema z zadnjimi IDE datotekami, ki se kot vedno nahajajo na stežniku SRC3 ali na Sophosovih spletnih straneh. Pri Sophosu priporočajo, da protivirusne programe prilagodite tako, da bodo odslej preverjali tudi datoteke s končnica .BAT in .LNK. (list of Executable file extensions)
Prilagam posebno paketno datoteko, ki vam bo olajšala čiščenje računalnike, če je kje že prišlo do okužbe! Dobite jo če mi pošljete email. Poleg tega predlagam, da opozorilo vzamete resno, saj sem od vceraj do danes dobil 4 maile z okuzeno vsebino!!!!!!
lp,SuLc
skupni rabi (share). Črv se pojavlja kot elektronska pošta z naključnim naslovom (Subject) in priponko, katere ime je enako naslovu pošte. Pripeta datoteka ima torej naključno ime, vedno pa ima dvojno končnico. (npr.
DOC.COM ali MPG.PIF). Ko uporabnik odpre priponko, se črv kopira v Windows sistemski imenik kot datoteka z imenom scam32.exe. V imenik Recycled se skopira z imenom sirc32.exe in datoteko označi z atributom Hidden (datoteko skrije). Črv spremeni tudi register, tako da se zažene ob vsakem zagonu Windowsom in ob vsakem zagonu EXE datotek! Črv tudi išče razpoložljive imenike v skupni rabi (v Microsoft omrežju) in na Windows imeniku
računalnika, ki ponuja v skupno rabo Windows imenik, prepiše datoteko rundll32.exe, izvorno verzijo pa preimenuje v run32.exe. Če mu to uspe, črv spremeni tudi datoteko autoexec.bat, tako da od tam zažene svojo kopijo, ki se nahaja v c:Recycled imeniku. Vse to so zvijače, ki smo jih v podobnih izvedbah vajeni pri ostalih internetnih črvih. Virus je nevaren predvsem zato, ker ima (podobno kot W32/Magistr-A) lastno SMTP rutino, tako da zna razpošiljati pošto sam (brez uporabe MS Outlook-a). Ne more pa (tako kot tudi Magistr-A pred njim ni mogel) uporabiti sezname naslovnikov iz Lotus Notesa, marveč samo Windows poštne sezname na lokalni delovni postaji (v datotekah *.WAB). Okužena pošto uporabniki prepoznajo po prvi in zadnji vrstici, ki sta vedno enaki in sicer:
"Hi! How are you?" na začetku in
"See you later. Thanks" na koncu.
Vmes se se pojavijo še štirje stavki v angleščini. Obstaja tudi španska različica, ki pa se pojavi samo v španskih Windowsih. Pripeta je datoteka z okuženega pošiljateljevega računalnika z dvojnim podaljškom, naprimer
dokument.DOC.EXE, arhiv.ZIP.COM, slika.JPG.PIF, ... Končnice so '.EXE', '.COM', '.BAT', '.PIF' in '.LNK'. Črv datoteke pobira v uporabnikovem imeniku 'My Documents'. Ker ta imenik pogosto vsebuje zasebne ali poslovne datoteke, to pomeni, da črv lahko razpošilja zaupne dokumente.
Virus se aktivira 16 oktobra, ko obstaja možnost 1:20, da bo črv poskušal pobrisati vse datoteke na trdem disku.
Predlagam, da takoj izvedete posodobitev sistema z zadnjimi IDE datotekami, ki se kot vedno nahajajo na stežniku SRC3 ali na Sophosovih spletnih straneh. Pri Sophosu priporočajo, da protivirusne programe prilagodite tako, da bodo odslej preverjali tudi datoteke s končnica .BAT in .LNK. (list of Executable file extensions)
Prilagam posebno paketno datoteko, ki vam bo olajšala čiščenje računalnike, če je kje že prišlo do okužbe! Dobite jo če mi pošljete email. Poleg tega predlagam, da opozorilo vzamete resno, saj sem od vceraj do danes dobil 4 maile z okuzeno vsebino!!!!!!
lp,SuLc
lp,
____________________________________________
"Left to themselves, things tend to go from bad to worse."
____________________________________________
"Left to themselves, things tend to go from bad to worse."
- spremenil: gkovac ()
ahac ::
Glih glede tega sem hotu neki napisat.
Sem dobil že 4 take maile.
Uh, morm hitr dobit en antivirus program!!
Sem dobil že 4 take maile.
Uh, morm hitr dobit en antivirus program!!
Lunik ::
Jest sem do zdaj dobu že ene 8 takih mejlov. Na nortonovi strani je bil en programčič ki ti tečnobo odstrani, ampak če priponke ne odpreš, je mislim da vse v redu (huh :)). Za link do tistega k ti odstrani poiščite med novicami.
gkovac ::
Fantje... tole pa ze ni vec hec.... vceri sem dobil na moj mail 6 mailov od ljudi ki jih sploh ne poznam in vsi so mel v prilogi virus!!!
Poskrbite za svoje sisteme!!!
lp,SuLc
Poskrbite za svoje sisteme!!!
lp,SuLc
lp,
____________________________________________
"Left to themselves, things tend to go from bad to worse."
____________________________________________
"Left to themselves, things tend to go from bad to worse."
ABX ::
Pa kdo se heca. Par mojih sistemov dobi po 300 okuženih mailov na dan. Ni blo druge kot blokirat pošiljatelja.
Zato sprašujem za kak dober antivirus (Nortona ne pogledam niti od daleč, ker je prevelik in upočasni cel sistem)
Zato sprašujem za kak dober antivirus (Nortona ne pogledam niti od daleč, ker je prevelik in upočasni cel sistem)
Vaša inštalacija je uspešno spodletela!
Avenger ::
Ja, jaz sem se pa po čisti neumnosti okužil in to zato, ker sploh pogledal nisem kakšen fajl je, pripet, ampak samo kliknil. Eh... No, NAV je črva k sreči odpravil.
It is better to be hated for what you are than to be loved for something you are not.
SLOWWWeb.net ::
Hja, takole, če hočeš odličen protivirusni program ti priporočam da izbreš AVX Pro 5.9.3 ali pa RAVa 8.*. Opise programov najdes na SLO-Security.com
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | trojanski konj help!!!Oddelek: Operacijski sistemi | 2592 (2265) | Izi |
» | Končno. Na mojem računalniku z linuxom sem odkril virus.Oddelek: Programska oprema | 1564 (1278) | suse80 |
» | So sledeci procesi wormi:Oddelek: Pomoč in nasveti | 1500 (1232) | alesrosina |
» | Nov virus (dobivam ga zadnje par dni)Oddelek: Omrežja in internet | 1026 (737) | Ziga Dolhar |
» | kernel32.exeOddelek: Programska oprema | 993 (883) | Mercier |