Hab grad ne Mail mit folgendem Text + Anlage bekommen:
"Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks"
Betreff ist: ja2edit_
Absender: Herbert Jesenko jr. jesenko.herbert@aon.at
In der Anlage ist ein Virus. An alle, die diese Mail auch kriegen: Nicht öffnen!
Die Datei heisst: JA2edit_zip.pif
Und er Virus: W95/Sircam.worm@mm
Das poste ich daher hier rein, weil das mit JA2 zu tun hat. Und weil ich mich frage, woher die meine Addy haben.
Virus in JA2Edit Mail
Moderator: Flashy
-
Der Patrizier
- Alpha-Squad
- Beiträge: 1938
- Registriert: 26 Mär 2001, 13:55
Virus in JA2Edit Mail
ES WAR EINE GUTE TAT IN EINER SCHLECHTEN WELT.
"Von wegen!"
NA SCHÖN. DANN WAR ES EBEN EINE SCHLECHTE TAT IN EINER SCHLECHTEN WELT, UND NIEMAND WIRD SIE ZUR KENNTNIS NEHMEN.
"Von wegen!"
NA SCHÖN. DANN WAR ES EBEN EINE SCHLECHTE TAT IN EINER SCHLECHTEN WELT, UND NIEMAND WIRD SIE ZUR KENNTNIS NEHMEN.
Interessant, wirklich interessant...
und vor allem, woher wissen die das du dich für Ja2 interessierst, oder hast du mal ne Newsletter etc. abonniert.
und vor allem, woher wissen die das du dich für Ja2 interessierst, oder hast du mal ne Newsletter etc. abonniert.
His favorite areas of study within his degree were Shakespeare, the Restoration, Ancient Literature and most definitely not Contemporary Lesbian Eurobitch Authors.
Du hast den SirCam Virus geschickt bekommen, der schon eine ganze Weile die Runde macht.
Der Anhang, in dem der Virus steckt ist immer ein anderer, da die datei willkürlich aus dem "Eigene Dateien" Ordner des infizierten PCs genommen wird.
Erkennen kann man den Virus da dran, dass der Anhang eine doppelte Endung hat und der Betreff dem Dateinamen entspricht.
Ausserdem ist der Text der Mail immer ähnlich, also beginnt immer mit "Hi! How are you!" oder etwas entsprechendem in Spanisch.
Der Absender ist übrigens Jesse. Sein PC ist wohl infiziert. Ich habe auch schon zweimal eine derartige Mailv on ihm gekriegt.
Der Anhang, in dem der Virus steckt ist immer ein anderer, da die datei willkürlich aus dem "Eigene Dateien" Ordner des infizierten PCs genommen wird.
Erkennen kann man den Virus da dran, dass der Anhang eine doppelte Endung hat und der Betreff dem Dateinamen entspricht.
Ausserdem ist der Text der Mail immer ähnlich, also beginnt immer mit "Hi! How are you!" oder etwas entsprechendem in Spanisch.
Der Absender ist übrigens Jesse. Sein PC ist wohl infiziert. Ich habe auch schon zweimal eine derartige Mailv on ihm gekriegt.
Some scientists claim that hydrogen, because it is so plentiful, is the basic building block of the universe. I dispute that. I say there is more stupidity than hydrogen, and that is the basic building block of the universe.
(Frank Zappa)
(Frank Zappa)
Man Flashy, du bist vielleicht heute am rumschieben 
Alter Schieber
Wieso kommt der von Jesse, das rall ich nicht. Verschickt der etwa mails mit Viren oder ist das unbeabsichtigt?
Alter Schieber
Wieso kommt der von Jesse, das rall ich nicht. Verschickt der etwa mails mit Viren oder ist das unbeabsichtigt?
His favorite areas of study within his degree were Shakespeare, the Restoration, Ancient Literature and most definitely not Contemporary Lesbian Eurobitch Authors.
Tja, hätt ich auch nicht gedacht, daß ich son Stress hab heute....
Werd mal heute abend mit Gorgo reden, bzgl. Kicken wg. Gefährdung der Allgemeinheit......
Ob Jesse nu Schuld hat oder nicht, peil ich auch noch nicht....,.
Werd mal heute abend mit Gorgo reden, bzgl. Kicken wg. Gefährdung der Allgemeinheit......
Ob Jesse nu Schuld hat oder nicht, peil ich auch noch nicht....,.
Mitglied und Silberlocke im Rat der grauen Eminenzen.
50% des ersten regulären Eminenzen-Ehepaars
Registriert am 17.08.99 um 21.12Uhr
50% des ersten regulären Eminenzen-Ehepaars
Registriert am 17.08.99 um 21.12Uhr
Das würde ja heißen das Jesse (so er e denn ist) sich eine extra mailadresse zugelegt hat oder Programme à la Ghostmail (habe ich mla was von gehört) besitzt.
Naja, wie schon gesagt, ich kenne mich damit nicht aus.
Naja, wie schon gesagt, ich kenne mich damit nicht aus.
His favorite areas of study within his degree were Shakespeare, the Restoration, Ancient Literature and most definitely not Contemporary Lesbian Eurobitch Authors.
Das mit dem Virus ist unbeabsichtigt.
Wenn man den Anhang öffnet, verschickt der Virus automatisch an alle Einträge im Adressbuch weiter. Die einzige Schuld, die ihn trifft, ist wohl, dass er unvorsichtigerweise einen Anhang geöffnet hat.
Wenn man den Anhang öffnet, verschickt der Virus automatisch an alle Einträge im Adressbuch weiter. Die einzige Schuld, die ihn trifft, ist wohl, dass er unvorsichtigerweise einen Anhang geöffnet hat.
Some scientists claim that hydrogen, because it is so plentiful, is the basic building block of the universe. I dispute that. I say there is more stupidity than hydrogen, and that is the basic building block of the universe.
(Frank Zappa)
(Frank Zappa)
@all
Ich will mich darüber jetzt nicht auslassen aber
möglich ist es einen Virus der dir geschickt wurde so zu isolieren das du ihn weiterverschicken kannst Dieser Aktiviert sich dann erst bei dir. Ist heute kein Prob mehr das kannst du auf hackerseite nachlesen!!!
Ich will mich darüber jetzt nicht auslassen aber
möglich ist es einen Virus der dir geschickt wurde so zu isolieren das du ihn weiterverschicken kannst Dieser Aktiviert sich dann erst bei dir. Ist heute kein Prob mehr das kannst du auf hackerseite nachlesen!!!
Gruß
baSti
"Unsere Opfer sind eingetroffen!"
(Slay)
ICQ hat ---> 127149161 <--- is aba ned installiert
baSti
"Unsere Opfer sind eingetroffen!"
(Slay)
ICQ hat ---> 127149161 <--- is aba ned installiert
Natürlich kann man den Virus nehmen und weiterverschicken.
In diesem Fall braucht man einfach nur den Anhang an jemand anderen schicken.
Aber ich habe den Virus jetzt schon mehrmals bekommen, von verschiedenen Leuten. Die E-Mail hatte immer die gleiche Form.
Wenn Jesse wirklich jemanden aus dem Forum schaden wollte, hätte er doch zumindest einen anderen Text für die Mail genommen.
In diesem Fall braucht man einfach nur den Anhang an jemand anderen schicken.
Aber ich habe den Virus jetzt schon mehrmals bekommen, von verschiedenen Leuten. Die E-Mail hatte immer die gleiche Form.
Wenn Jesse wirklich jemanden aus dem Forum schaden wollte, hätte er doch zumindest einen anderen Text für die Mail genommen.
Some scientists claim that hydrogen, because it is so plentiful, is the basic building block of the universe. I dispute that. I say there is more stupidity than hydrogen, and that is the basic building block of the universe.
(Frank Zappa)
(Frank Zappa)
Nach Studium der Beiträge von Jesse, bin ich zu der Überzeugung gelangt, das dieser (ehemalige) Member, über die nötige Intelligenz, so etwas mit Absicht zu tun, NICHT verfügt. 
PS: obwohl, kriminelle Energie gepaart mit Dummheit ist die gefährlichste
PS: obwohl, kriminelle Energie gepaart mit Dummheit ist die gefährlichste
Wenn man keine Ahnung hat ..... Einfach mal Fresse halten.
D. Nuhr
D. Nuhr
sehr interessant!
ich habe nämlich auch schon einen haufen von diesen mails bekommen! ich wusste schon, dass dies nur ein virus oder ein trojaner sein konnte, also habe ich die mails immer sofort gelöscht. Diese Mails kamen aber auch schon vor Jesses besonderem Auftreten hier und hatten immer 2 dateiendungen.
Was passiert denn genau wenn amn den Virus drauf hat?
ich habe nämlich auch schon einen haufen von diesen mails bekommen! ich wusste schon, dass dies nur ein virus oder ein trojaner sein konnte, also habe ich die mails immer sofort gelöscht. Diese Mails kamen aber auch schon vor Jesses besonderem Auftreten hier und hatten immer 2 dateiendungen.
Was passiert denn genau wenn amn den Virus drauf hat?
funky cold meduna!
Chumpesa
Chumpesa
Wenn man den dateianhang öffnet, passiert folgendes:
Der Virus durchsucht das Adressbuch nach E-Mail Adressen (ich habe irgendwo mal gelesen, dass er sogar im cache des Browsers sucht). Dann nimmt er irgendeine Datei aus dem Ordner "Eigene Dateien", schreibt sich in die Datei und verschickt die an alle Adressen, die er finden konnte.
Das kann im übrigen wohl sehr unangenehm werden, wenn er wichtige und geheime dateien weiterverschickt.
Der Virus durchsucht das Adressbuch nach E-Mail Adressen (ich habe irgendwo mal gelesen, dass er sogar im cache des Browsers sucht). Dann nimmt er irgendeine Datei aus dem Ordner "Eigene Dateien", schreibt sich in die Datei und verschickt die an alle Adressen, die er finden konnte.
Das kann im übrigen wohl sehr unangenehm werden, wenn er wichtige und geheime dateien weiterverschickt.
Some scientists claim that hydrogen, because it is so plentiful, is the basic building block of the universe. I dispute that. I say there is more stupidity than hydrogen, and that is the basic building block of the universe.
(Frank Zappa)
(Frank Zappa)
-
Phoenix 576
- Alpha-Squad
- Beiträge: 1834
- Registriert: 04 Feb 2001, 21:34
- Kontaktdaten:
Ich hab den auch schon bekommen, aber mein hotmal hat mir gottseidank gesagt dass es ein virus ist, deshab sofort gelöscht, aber wenn das mit absicht iost, dann schick ich ihm ne Briefbombe
P.S: sorry für di3e fehlleer aber ich bin bvesoffen
------------------------------------------------------------------------
Phoenix 576
P.S: sorry für di3e fehlleer aber ich bin bvesoffen
------------------------------------------------------------------------
Phoenix 576
und wie kommen die bitteschön an meine addresse ran?
die mails die ich bekommen habe waren alle von österreichischen providern und ich habe keinen einzigen gekannt...
sonst macht er aber nichts ausser eigene dateien-files verschicken oder? ich meine ist schon schlimm genug aber es könnte schkimmer sein.
kann beim gmx account solche typen irgendwie auf ne Ignorelist stellen?
die mails die ich bekommen habe waren alle von österreichischen providern und ich habe keinen einzigen gekannt...
sonst macht er aber nichts ausser eigene dateien-files verschicken oder? ich meine ist schon schlimm genug aber es könnte schkimmer sein.
kann beim gmx account solche typen irgendwie auf ne Ignorelist stellen?
funky cold meduna!
Chumpesa
Chumpesa
@Chumpesa
weiß ich nicht ob das geht! am besten ist immer noch mails unbekannter herkunft löschen und vorm öffnen genau hinschauen
obwas nicht in ordnung ist!! hab ja glück bei mir erledigt das mein
Firewall.......
:evil: 
weiß ich nicht ob das geht! am besten ist immer noch mails unbekannter herkunft löschen und vorm öffnen genau hinschauen
obwas nicht in ordnung ist!! hab ja glück bei mir erledigt das mein
Firewall.......
:evil: 
Gruß
baSti
"Unsere Opfer sind eingetroffen!"
(Slay)
ICQ hat ---> 127149161 <--- is aba ned installiert
baSti
"Unsere Opfer sind eingetroffen!"
(Slay)
ICQ hat ---> 127149161 <--- is aba ned installiert
@ Chumpesa:
Ich bin mir nicht sicher, ob er noch mehr macht.
Ich meine, gelesen zu haben, dass er in einigen Fällen die Festplatte vollschreibt oder an einem bestimmten datum dateien löscht. Kann aber auch sein, dass das ein anderer Virus war. Ich bin mir da nicht mehr ganz sicher.
Ich habe den Virus auch schon von jemandem bekommen, den ich nicht gekannt habe, und wo ich mich gewundert habe, wie er an meine Adresse kommt.
Bei GMX kann man irgendwo unerwünschte Absender einstellen. Musst du mal unter Optionen->Spam-Filter oder so gucken.
Ich bin mir nicht sicher, ob er noch mehr macht.
Ich meine, gelesen zu haben, dass er in einigen Fällen die Festplatte vollschreibt oder an einem bestimmten datum dateien löscht. Kann aber auch sein, dass das ein anderer Virus war. Ich bin mir da nicht mehr ganz sicher.
Ich habe den Virus auch schon von jemandem bekommen, den ich nicht gekannt habe, und wo ich mich gewundert habe, wie er an meine Adresse kommt.
Bei GMX kann man irgendwo unerwünschte Absender einstellen. Musst du mal unter Optionen->Spam-Filter oder so gucken.
Some scientists claim that hydrogen, because it is so plentiful, is the basic building block of the universe. I dispute that. I say there is more stupidity than hydrogen, and that is the basic building block of the universe.
(Frank Zappa)
(Frank Zappa)
Hab letztens[30.7.] eine mail von johann.sturmann@utanet.at
mit dem Inhalt
"Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks"
bekommen. Anhang: Teiler1.xls.pif.
Keien Ahnung, vielleicht nur n´harmloses Exel-Dokument.. Hab mich nur gewundert. was der Kerl will und es sofort gelöscht... Hab schonmal so eine mail bekommen, auch mit komsichem anhang.. hab ich aber auch nich geöffnet...
Danke für die Warnung!
edit. Die zweite mail kam am 8.8.
gleicher Text, von hsp01@bmlv.gv.at mit Anhang: Termineaug01.doc.ink 164kb. Der vond er ersten mail war 167kb.
Hab ichauch nie geöffnet, den Anhang
So, nun hab ich die Anhänge mal gespeichert. War doch in beiden der oben beschriebene Virus drin. Schade, einem entgeht vie Spaß, wenn man soclhe mails gleich löscht..
mit dem Inhalt
"Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks"
bekommen. Anhang: Teiler1.xls.pif.
Keien Ahnung, vielleicht nur n´harmloses Exel-Dokument.. Hab mich nur gewundert. was der Kerl will und es sofort gelöscht... Hab schonmal so eine mail bekommen, auch mit komsichem anhang.. hab ich aber auch nich geöffnet...
Danke für die Warnung!
edit. Die zweite mail kam am 8.8.
gleicher Text, von hsp01@bmlv.gv.at mit Anhang: Termineaug01.doc.ink 164kb. Der vond er ersten mail war 167kb.
Hab ichauch nie geöffnet, den Anhang
So, nun hab ich die Anhänge mal gespeichert. War doch in beiden der oben beschriebene Virus drin. Schade, einem entgeht vie Spaß, wenn man soclhe mails gleich löscht..
Vielleicht gibt der Virus eine falsche e-mal adresse an?
Der Virus gibt die richtige Adresse an. das ist ja das gemeine. Der Empfänger kennt dann oftmals en Absender und öffnet deswegen die Mail.
komisch auch wieder ne addy mit @at hinten
Anscheinend sind die österreicher alle so dumm, den Anhang mit dem Virus zu öffnen:D (sollte keine Beleidigung sein, falls hier österreicher anwesend sind)
So, nun hab ich die Anhänge mal gespeichert. War doch in beiden der oben beschriebene Virus drin. Schade, einem entgeht vie Spaß, wenn man soclhe mails gleich löscht..
Ich bewahre die Mails auf alle Fälle auf. Wer weiss, wozu man den Virus noch mal gebaruchen kann:D
Some scientists claim that hydrogen, because it is so plentiful, is the basic building block of the universe. I dispute that. I say there is more stupidity than hydrogen, and that is the basic building block of the universe.
(Frank Zappa)
(Frank Zappa)
Hab den Virus auch bekommen, selber Absender (kenn ich nich), anderer Anhang...(.zip.bat => na, was da wohl drin ist...)
Inhalt der Mail:
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
Wie gesagt, ich kenn ihn nich und hab den Anhang natürlich nich geöffnet...
)Inhalt der Mail:
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
Wie gesagt, ich kenn ihn nich und hab den Anhang natürlich nich geöffnet...
So, nun hab ich die Anhänge mal gespeichert. War doch in beiden der oben beschriebene Virus drin. Schade, einem entgeht vie Spaß, wenn man soclhe mails gleich löscht..
Hm, wenn jetzt alle aufrüsten muß ich mir wohl auch einen Virus besorgen!Ich bewahre die Mails auf alle Fälle auf. Wer weiss, wozu man den Virus noch mal gebaruchen kann
Nur so, zur Abschreckung!
Emrep
Hey, es gibt echt nichts Aufregenderes. 
Hab den scheiß jetzt nochmal bekommen. Diesmal von Jesse. Aber der Anhang war über 600Kb, langsam nervt das.
Abe rmein Outlook wird ab jetzt mails sofort vom Server löschen, die den Text "I send you this file in order to have your advice" enthalten.
Mal ein paar Spekulationen: Ich hatte vorher nie Kontakt zu Jesse. Das heißt, ich hab vorher nie eine mail von der e-mal addy bekommen. Die addy, an die die mail is, is nur bei der Basis, hier im Forum und in der MacMod-Readme steht eine andere.
Sehr komisch...
Abe rmein Outlook wird ab jetzt mails sofort vom Server löschen, die den Text "I send you this file in order to have your advice" enthalten.
Mal ein paar Spekulationen: Ich hatte vorher nie Kontakt zu Jesse. Das heißt, ich hab vorher nie eine mail von der e-mal addy bekommen. Die addy, an die die mail is, is nur bei der Basis, hier im Forum und in der MacMod-Readme steht eine andere.
Sehr komisch...
Das ist allerdings seltsam!
Auf jedenfall schent Jesse ein ziemliches Rad ab zu haben, wenn er wirklich denkt er könnte damit was erreichen.
Auf jedenfall schent Jesse ein ziemliches Rad ab zu haben, wenn er wirklich denkt er könnte damit was erreichen.
His favorite areas of study within his degree were Shakespeare, the Restoration, Ancient Literature and most definitely not Contemporary Lesbian Eurobitch Authors.
-
Der Patrizier
- Alpha-Squad
- Beiträge: 1938
- Registriert: 26 Mär 2001, 13:55
Hm... Das sieht ja echt seltsam aus.
Der Virus hat das derzeitige JA2DL Fieber ausgenutzt. Die Adressen aus der Forumsdatenbank hat er aber anscheinend nicht benutzt.
Jesse hab ich ein bisschen im "Euer angeschissenes Forum will keiner" -Thread angeblafft. Trotzdem muss das nicht heissen, dass er uns die Bombe geschickt hat. Immerhin ist die Addy, unter der ich den Virus gekriegt hab, nicht die, unter der ich hier angemeldet bin.
Wenn er es doch war, muss er verdammt gut sein im proggen.
*überleg* Noffè ?
Der Virus hat das derzeitige JA2DL Fieber ausgenutzt. Die Adressen aus der Forumsdatenbank hat er aber anscheinend nicht benutzt.
Jesse hab ich ein bisschen im "Euer angeschissenes Forum will keiner" -Thread angeblafft. Trotzdem muss das nicht heissen, dass er uns die Bombe geschickt hat. Immerhin ist die Addy, unter der ich den Virus gekriegt hab, nicht die, unter der ich hier angemeldet bin.
Wenn er es doch war, muss er verdammt gut sein im proggen.
*überleg* Noffè ?
ES WAR EINE GUTE TAT IN EINER SCHLECHTEN WELT.
"Von wegen!"
NA SCHÖN. DANN WAR ES EBEN EINE SCHLECHTE TAT IN EINER SCHLECHTEN WELT, UND NIEMAND WIRD SIE ZUR KENNTNIS NEHMEN.
"Von wegen!"
NA SCHÖN. DANN WAR ES EBEN EINE SCHLECHTE TAT IN EINER SCHLECHTEN WELT, UND NIEMAND WIRD SIE ZUR KENNTNIS NEHMEN.
Von "Sturmann" - Adresse siehe oben habe ich schon am 1.08 son Ding gekriegt. Betreff: Test3-Toplak1
Sofort kriegte er folgende Antwort:
MfG
Kenai
Sofort kriegte er folgende Antwort:
Entweder ist ihm das also egal, er hat Null Schnall oder es ist tatsächlich absicht.Hi,
ich hoffe dir ist klar, dass sich über deine Mail Adressen ein "Wurm verbreitet.
Falls nicht solltest du dringend was dagegen tun.
Es scheint dieser hier zu sein:
> Stand: 26.07.2001
> Derzeit grassiert im Internet ein Virus namens
> W32/SirCam (Alias: W32.Sircam.Worm@mm, TROJ_SIRCAM.A, Backdoor.SirCam).
> Er versteckt sich im Papierkorb von Windows und versendet sich selbst mit
> unterschiedlichen Namen an alle E-Mail-Adressen im Verzeichnis des
> infizierten Rechners. Außerdem verschickt er private Dateien aus dem
> 'Eigene Dateien'-Ordner, die er als Anhang an die E-Mails anhängt. Und
> schließlich wird befürchtet, dass er am
> 16. Oktober 2001 alle Dateien und Directories auf dem Laufwerk C: des
> Nutzers löscht.
> Erkennbar ist eine infizierte E-Mail daran, dass die Betreffzeile entweder
> auf spanisch ("Hola como estas?") oder auf englisch ("Hi! How are you?")
> abgefasst ist. Es folgt ein zweisprachiger Nachrichtentext, in dem um
> Hilfe bei der Bearbeitung einer Datei gebeten wird. Der Dateianhang heißt
> entweder 'SirC32.exe' oder 'Tech Specs and Financials.doc.com'.
See you
Kenai
Sturmann schrieb:
> Hi! How are you?
>
> I send you this file in order to have your advice
>
> See you later. Thanks
MfG
Kenai
Unsere kleine Liste von Original DVDs und warum ich Kinowelt boykottiere.
Das Forum ist davon irgendwie extrem betroffen, findet ihr nicht?
Ich habe sowas zum Glück noch nicht erhalten, aber wie viele andere hier, das breitet sich ja aus wie eine Seuche (und stellt euch mal vor nur ein paar von euch hätten den Anhang geöffnet).
Ich habe sowas zum Glück noch nicht erhalten, aber wie viele andere hier, das breitet sich ja aus wie eine Seuche (und stellt euch mal vor nur ein paar von euch hätten den Anhang geöffnet).
His favorite areas of study within his degree were Shakespeare, the Restoration, Ancient Literature and most definitely not Contemporary Lesbian Eurobitch Authors.
-
Der Patrizier
- Alpha-Squad
- Beiträge: 1938
- Registriert: 26 Mär 2001, 13:55
Vielleicht hat einer den Anhang geöffnet. Deshalb dann die Betroffenheit des Forums, wenn derjenige dann ein paar Addies im Adressbuch stehen hat.
Das müsste dann Jesse sein, aber die Mails kamen ja nicht nur von ihm....
Das müsste dann Jesse sein, aber die Mails kamen ja nicht nur von ihm....
ES WAR EINE GUTE TAT IN EINER SCHLECHTEN WELT.
"Von wegen!"
NA SCHÖN. DANN WAR ES EBEN EINE SCHLECHTE TAT IN EINER SCHLECHTEN WELT, UND NIEMAND WIRD SIE ZUR KENNTNIS NEHMEN.
"Von wegen!"
NA SCHÖN. DANN WAR ES EBEN EINE SCHLECHTE TAT IN EINER SCHLECHTEN WELT, UND NIEMAND WIRD SIE ZUR KENNTNIS NEHMEN.
Sircam is a mass mailing e-mail worm with the ability of spreading through Windows Network shares. The worm's body is 137216 bytes long but when it comes as an e-mail attachment, it larger in size due to a document that is attached to its body.
When the worm runs on a clean system it copies itself to different locations with different names:
1. The worm copies itself as 'SirC32.exe' to \Recycled\ folder. The default EXE file startup Registry key:
[HKCR\exefile\shell\open\command]
is changed to '""[windows_drive]\recycled\SirC32.exe" "%1" %*"'. This is done to activate a worm's copy every time an EXE file is started. Since the recycled folder name is hardcoded the worm does not work on machines with NTFS filesystem. Most Windows NT and 2000 systems are installed on NTFS.
2. The worm copies itself as 'SCam32.exe' in the System directory. The worm then creates a startup key for this file in the Registry to be started during all Windows sessions:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Driver32" = "<windows_system_dir_name>\SCam32.exe"
3. The worm copies itself as 'rundll32.exe' file to Windows directory. The original 'rundll32.exe' file is renamed to 'run32.exe'. This copy exists only if a computer got infected through a network share (see below).
4. Sometimes (once out of 33 cases) the worm places its copy to Windows directory with the 'ScMx32.exe' name. In this case another copy of the worm is created in the current user's personal startup folder as 'Microsoft Internet Office.exe'. This copy will be started when a user who got infected logs into a system.
When a Sircam-infected e-mail attachment is opened it shows the document it picked up from the sender machine's. The file is displayed with the appropiate program according to it's extension:
'.DOC': WinWord.exe or WordPad.exe
'.XLS': Excel.exe
'.ZIP': winzip.exe
This effectively disguises the worm's activity. While the user is checking the document the system get infected (as described above).
The worm uses Windows Address Book to collect e-mail addresses ('*.wab files). The worm also tries to look for e-mail addresses in \Temporary Internet Files\ folder ('sho*', 'get*', 'hot*', '*.html'). If a user has a working e-mail account the worm reads the its setting. Otherwise the '[username]@prodigy.mx.net' is used as the default sender's address and 'prodigy.net.mx' is used for the SMTP server name. The worm has its own SMTP engine and it sends out messages using this engine.
The worm collects a list of files with certain extensions ('.DOC', '.XLS', '.ZIP') into fake DLL files named 'sc*.dll'. The worm then sends itself out with one of the document files it found in a users's 'My Documents' folder.
Messages sent by Sircam look like this:
From: [user@address]
To: [user@address]
Subject: [document name without extension]
Hi! How are you?
'I send you this file in order to have your advice'
or
'I hope you can help me with this file that I send'
or
'I hope you like the file that I sendo you'
or
'This is the file with the information that you ask for'
See you later. Thanks
If a system's language is set to Spanish the worm sends messages in Spanish:
Hola como estas ?
'Te mando este archivo para que me des tu punto de vista'
or
'Espero me puedas ayudar con el archivo que te mando'
or
'Espero te guste este archivo que te mando'
or
'Este es el archivo con la informaci n que me pediste'
Nos vemos pronto, gracias.
The attached file has the name of a picked document file with a double extension like '.DOC.EXE', '.XLS.PIF'. The '.COM', '.BAT', '.PIF' and '.LNK' are used as second (executable) extensions. Since the worm can pick any of the user's personal document it migh send out confidential information.
This worm also uses Windows network shares to spread. When doing this, it first enumerates all the network shares available to the infected computer. If there there is a writeable \recycled\ folder on a share, a copy of the worm is put to \\[share]\recycled\' folder as 'SirCam32.exe' file. The \\[share]\autexec.bat file is appended with an extra line: '@win \recycled\SirC32.exe', so next time when an infected computer is rebooted the worm will be started. The worm also copies itself as 'rundll32.exe' file to Windows directory of a remote system. The original 'rundll32.exe' file is copied to 'run32.exe' before that.
The worm has two payloads. On 16th of October in one case out of 20 it deletes everything from the drive where Windows is installed. On any other day in one of 50 cases it fills up the drive where Windows is installed. In this case it creates a file called '<windows drive>:\recycled\sircam.sys' and continuosly fills it with one of below given text strings until the hard drive space is consumed.
'[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]'
or
'[SirCam Version 1.0 Copyright 2001 2rP Made in / Hecho en
- Cuitzeo, Michoacan Mexico]'
Removal instructions:
If your system is infected with the worm first please download this REG file and install it (by double-clicking on it):
ftp://ftp.europe.f-secure.com/anti-viru ... rc_dis.reg
This will remove the worm's reference from the EXE file startup key and the main worm's startup key in the Registry.
Warning! The system might become unusable if the worm's file is deleted without modifying the EXE file startup key first.
After that the system can be safely disinfected with F-Secure Anti-Virus. If for some reason the worm's file can't be deleted from Windows (locked file), then you have to exit to pure DOS and delete the worm's file manually or use a DOS-based scanner (F-Prot for DOS for example). Note that for 100% disinfection all worm's files needs to be deleted and Registry should be fixed (see above).
Additional Note: If a workstation was infected trough a network share '\windows\run32.exe' has to be renamed back to '\windows\rundll32.exe' after disinfection.
The extra line in 'autoexec.bat' file that starts the worm from \recycled\ folder should be removed also.
Network infection prevention:
If a network is infected and it is not possible to take it down to disinfect all workstations, the following method can prevent the worm from spreading to clean workstations:
In the \Recycled\ folder of a drive where Windows is installed, it is needed to create a dummy file with SIRC32.EXE name and read-only attribute.
Ich habe noch mal gesucht und die oben geschriebenen Infos über den Virus gefunden.
Besonders interessant fine ich folgende Bemerkung:
The worm also tries to look for e-mail addresses in \Temporary Internet Files\ folder ('sho*', 'get*', 'hot*', '*.html').
Das bedeutet also der Virus sucht auch in Internet-Seiten, die auf dem PC gespeichert sind nach Adressen.
Das erklärt dann auch, wie zum Beispiel macGyver eine Mail von Jesse erhalten hat, da seine Adresse auf der Basis angegeben ist.
When the worm runs on a clean system it copies itself to different locations with different names:
1. The worm copies itself as 'SirC32.exe' to \Recycled\ folder. The default EXE file startup Registry key:
[HKCR\exefile\shell\open\command]
is changed to '""[windows_drive]\recycled\SirC32.exe" "%1" %*"'. This is done to activate a worm's copy every time an EXE file is started. Since the recycled folder name is hardcoded the worm does not work on machines with NTFS filesystem. Most Windows NT and 2000 systems are installed on NTFS.
2. The worm copies itself as 'SCam32.exe' in the System directory. The worm then creates a startup key for this file in the Registry to be started during all Windows sessions:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Driver32" = "<windows_system_dir_name>\SCam32.exe"
3. The worm copies itself as 'rundll32.exe' file to Windows directory. The original 'rundll32.exe' file is renamed to 'run32.exe'. This copy exists only if a computer got infected through a network share (see below).
4. Sometimes (once out of 33 cases) the worm places its copy to Windows directory with the 'ScMx32.exe' name. In this case another copy of the worm is created in the current user's personal startup folder as 'Microsoft Internet Office.exe'. This copy will be started when a user who got infected logs into a system.
When a Sircam-infected e-mail attachment is opened it shows the document it picked up from the sender machine's. The file is displayed with the appropiate program according to it's extension:
'.DOC': WinWord.exe or WordPad.exe
'.XLS': Excel.exe
'.ZIP': winzip.exe
This effectively disguises the worm's activity. While the user is checking the document the system get infected (as described above).
The worm uses Windows Address Book to collect e-mail addresses ('*.wab files). The worm also tries to look for e-mail addresses in \Temporary Internet Files\ folder ('sho*', 'get*', 'hot*', '*.html'). If a user has a working e-mail account the worm reads the its setting. Otherwise the '[username]@prodigy.mx.net' is used as the default sender's address and 'prodigy.net.mx' is used for the SMTP server name. The worm has its own SMTP engine and it sends out messages using this engine.
The worm collects a list of files with certain extensions ('.DOC', '.XLS', '.ZIP') into fake DLL files named 'sc*.dll'. The worm then sends itself out with one of the document files it found in a users's 'My Documents' folder.
Messages sent by Sircam look like this:
From: [user@address]
To: [user@address]
Subject: [document name without extension]
Hi! How are you?
'I send you this file in order to have your advice'
or
'I hope you can help me with this file that I send'
or
'I hope you like the file that I sendo you'
or
'This is the file with the information that you ask for'
See you later. Thanks
If a system's language is set to Spanish the worm sends messages in Spanish:
Hola como estas ?
'Te mando este archivo para que me des tu punto de vista'
or
'Espero me puedas ayudar con el archivo que te mando'
or
'Espero te guste este archivo que te mando'
or
'Este es el archivo con la informaci n que me pediste'
Nos vemos pronto, gracias.
The attached file has the name of a picked document file with a double extension like '.DOC.EXE', '.XLS.PIF'. The '.COM', '.BAT', '.PIF' and '.LNK' are used as second (executable) extensions. Since the worm can pick any of the user's personal document it migh send out confidential information.
This worm also uses Windows network shares to spread. When doing this, it first enumerates all the network shares available to the infected computer. If there there is a writeable \recycled\ folder on a share, a copy of the worm is put to \\[share]\recycled\' folder as 'SirCam32.exe' file. The \\[share]\autexec.bat file is appended with an extra line: '@win \recycled\SirC32.exe', so next time when an infected computer is rebooted the worm will be started. The worm also copies itself as 'rundll32.exe' file to Windows directory of a remote system. The original 'rundll32.exe' file is copied to 'run32.exe' before that.
The worm has two payloads. On 16th of October in one case out of 20 it deletes everything from the drive where Windows is installed. On any other day in one of 50 cases it fills up the drive where Windows is installed. In this case it creates a file called '<windows drive>:\recycled\sircam.sys' and continuosly fills it with one of below given text strings until the hard drive space is consumed.
'[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]'
or
'[SirCam Version 1.0 Copyright 2001 2rP Made in / Hecho en
- Cuitzeo, Michoacan Mexico]'
Removal instructions:
If your system is infected with the worm first please download this REG file and install it (by double-clicking on it):
ftp://ftp.europe.f-secure.com/anti-viru ... rc_dis.reg
This will remove the worm's reference from the EXE file startup key and the main worm's startup key in the Registry.
Warning! The system might become unusable if the worm's file is deleted without modifying the EXE file startup key first.
After that the system can be safely disinfected with F-Secure Anti-Virus. If for some reason the worm's file can't be deleted from Windows (locked file), then you have to exit to pure DOS and delete the worm's file manually or use a DOS-based scanner (F-Prot for DOS for example). Note that for 100% disinfection all worm's files needs to be deleted and Registry should be fixed (see above).
Additional Note: If a workstation was infected trough a network share '\windows\run32.exe' has to be renamed back to '\windows\rundll32.exe' after disinfection.
The extra line in 'autoexec.bat' file that starts the worm from \recycled\ folder should be removed also.
Network infection prevention:
If a network is infected and it is not possible to take it down to disinfect all workstations, the following method can prevent the worm from spreading to clean workstations:
In the \Recycled\ folder of a drive where Windows is installed, it is needed to create a dummy file with SIRC32.EXE name and read-only attribute.
Ich habe noch mal gesucht und die oben geschriebenen Infos über den Virus gefunden.
Besonders interessant fine ich folgende Bemerkung:
The worm also tries to look for e-mail addresses in \Temporary Internet Files\ folder ('sho*', 'get*', 'hot*', '*.html').
Das bedeutet also der Virus sucht auch in Internet-Seiten, die auf dem PC gespeichert sind nach Adressen.
Das erklärt dann auch, wie zum Beispiel macGyver eine Mail von Jesse erhalten hat, da seine Adresse auf der Basis angegeben ist.
Some scientists claim that hydrogen, because it is so plentiful, is the basic building block of the universe. I dispute that. I say there is more stupidity than hydrogen, and that is the basic building block of the universe.
(Frank Zappa)
(Frank Zappa)
-
Der Patrizier
- Alpha-Squad
- Beiträge: 1938
- Registriert: 26 Mär 2001, 13:55
Er hat doch in seiner Beschimpfung des ganzen Forums 2 Personen ausgespart...
Wer war die beiden?
Und haben diese 2 dann auch den Virus erhalten?
edit: Mist, ich find den Beitrag nicht mehr...
Wer war die beiden?
Und haben diese 2 dann auch den Virus erhalten?
edit: Mist, ich find den Beitrag nicht mehr...
ES WAR EINE GUTE TAT IN EINER SCHLECHTEN WELT.
"Von wegen!"
NA SCHÖN. DANN WAR ES EBEN EINE SCHLECHTE TAT IN EINER SCHLECHTEN WELT, UND NIEMAND WIRD SIE ZUR KENNTNIS NEHMEN.
"Von wegen!"
NA SCHÖN. DANN WAR ES EBEN EINE SCHLECHTE TAT IN EINER SCHLECHTEN WELT, UND NIEMAND WIRD SIE ZUR KENNTNIS NEHMEN.
Er hat doch in seiner Beschimpfung 2 Personen ausgespart...
Wer war das?
Und haben diese 2 dann auch den Virus erhalten?
Ich befürchte, ich war eine der zwei Personen. Aber ich habe den Virus gleich zwei mal von ihm bekommen!
Wer war das?
Und haben diese 2 dann auch den Virus erhalten?
Ich befürchte, ich war eine der zwei Personen. Aber ich habe den Virus gleich zwei mal von ihm bekommen!
Some scientists claim that hydrogen, because it is so plentiful, is the basic building block of the universe. I dispute that. I say there is more stupidity than hydrogen, and that is the basic building block of the universe.
(Frank Zappa)
(Frank Zappa)
Meinst du mit "ausgespart" sowas wie "bevorzugt" also, besonders bschimpft?
Sorry, aber dieser Syntax ( ) ist hier leider ungebräuchlich.
Sorry, aber dieser Syntax (
) ist hier leider ungebräuchlich.His favorite areas of study within his degree were Shakespeare, the Restoration, Ancient Literature and most definitely not Contemporary Lesbian Eurobitch Authors.
Sodale, mir hat der Typ den Virus auch geschickt...
Nu bin ich aber sauer..... Wer hat unsere ganzen Addies?
BTW, hab den Anhang nicht geöffnet, sondern nur die Mail gelesen, dann sofort gelöscht... Anschließend auch im "Gelöschte Dateien-Ordner" unwiederruflich gelöscht...
Langt das?
Nu bin ich aber sauer..... Wer hat unsere ganzen Addies?
BTW, hab den Anhang nicht geöffnet, sondern nur die Mail gelesen, dann sofort gelöscht... Anschließend auch im "Gelöschte Dateien-Ordner" unwiederruflich gelöscht...
Langt das?
Mitglied und Silberlocke im Rat der grauen Eminenzen.
50% des ersten regulären Eminenzen-Ehepaars
Registriert am 17.08.99 um 21.12Uhr
50% des ersten regulären Eminenzen-Ehepaars
Registriert am 17.08.99 um 21.12Uhr
-
Praetorian
- Alpha-Squad
- Beiträge: 1084
- Registriert: 21 Jun 2001, 14:52
- Kontaktdaten:
-
Der Patrizier
- Alpha-Squad
- Beiträge: 1938
- Registriert: 26 Mär 2001, 13:55
Ne, er hat so sinngemäß gesagt: "Ihr seid doch alle scheisse, bis auf Azreal und noch wer". Könnte Zephalo gewesen sein.Original geschrieben von Khelbun
Meinst du mit "ausgespart" sowas wie "bevorzugt" also, besonders bschimpft?
Sorry, aber dieser Syntax (
Also scheint es doch nicht Jesses Absicht gewesen zu sein.
ES WAR EINE GUTE TAT IN EINER SCHLECHTEN WELT.
"Von wegen!"
NA SCHÖN. DANN WAR ES EBEN EINE SCHLECHTE TAT IN EINER SCHLECHTEN WELT, UND NIEMAND WIRD SIE ZUR KENNTNIS NEHMEN.
"Von wegen!"
NA SCHÖN. DANN WAR ES EBEN EINE SCHLECHTE TAT IN EINER SCHLECHTEN WELT, UND NIEMAND WIRD SIE ZUR KENNTNIS NEHMEN.
@Flashy:Original geschrieben von Flashy
Sodale, mir hat der Typ den Virus auch geschickt...
Nu bin ich aber sauer..... Wer hat unsere ganzen Addies?
BTW, hab den Anhang nicht geöffnet, sondern nur die Mail gelesen, dann sofort gelöscht... Anschließend auch im "Gelöschte Dateien-Ordner" unwiederruflich gelöscht...
Langt das?
Warum so ängstlich: Du hättest die Mail ruhig als Andenken behalten können. Solange du den Anhang nicht öffnest, kann eigentlich nichts passieren.
Some scientists claim that hydrogen, because it is so plentiful, is the basic building block of the universe. I dispute that. I say there is more stupidity than hydrogen, and that is the basic building block of the universe.
(Frank Zappa)
(Frank Zappa)
Wenn SirCam den Anhang per Script öffnen würde, müssten eigentlich einige aus dem Forum bereits Post von mir gekriegt haben!:D"Azrael: Bist du da sicher?
Man kann Anhänge auch per Script öffnen. Wenn Sircam das macht, owei!
Emrep
Ich habe im Internet mehrere Artikel über den Virus gelesen und nirgendwo stand etwas davon, dass er sich per Script automatisch starten würde.
Some scientists claim that hydrogen, because it is so plentiful, is the basic building block of the universe. I dispute that. I say there is more stupidity than hydrogen, and that is the basic building block of the universe.
(Frank Zappa)
(Frank Zappa)
Hm, wenn ich mir Flashys Antwort im "@....-Thread anschaue trotzdem oooowei! Ich glaub ja, daß Outlook nicht ganz koscher ist. Über die Gefahr von MS Produkten und VBA hab ich mich aber schon ausgelassen. Allerdings gibt es Experten, die meinen, daß Java Script von Netscape noch gefährlicher ist.
Emrep
Emrep