Re: Mozna virus?

From: YaNo (yano@radko.sk)
Date: 24. 07. 2001, 08:33 CEST

Previous message: Mikulas Hypr: "Re: sit na 386 - neco mam"
In reply to: j.c.: "Re: Mozna virus?"
Next in thread: Rozanek Filip: "OT: Übersetzt in Deutsch"
Next in thread: pavel@pilsen.cz: "Re: Mozna virus?"
Reply: Rozanek Filip: "OT: Übersetzt in Deutsch"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ] [ attachment ]

>je to virus
>take muze mit prilohu NEWS blesk.doc.pif
>K>      dneska rano mi prisel dost pochybnej e-mail s pripojenym
>K> souborem "DL_rodomax.xls.bat" (davkovej soubor to ale neni 
>K> urcite) a textem "Hi! How are you? I send you this file in order to 
>K> have your advice. See you later." 

I-Worm/Sircam.A
===============

Jde o cca 134kB bubmbrdlicka napsaneho v Delphi.

Soude dle zasiforvanych textu pochazi z Mexika:

   [SirCam Version 1.0 Copyright (c) 2001 2rP
   Made in / Hecho en - Cuitzeo, Michoacan Mexico]

Tento text mimochodem obsahuje i v ponekud "odtucnene" verzi:

   [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

Posila se mailem, ktery ma jako subject jmeno prilozeneho souboru
a jehoz text sestavuje z techto vet:

   Hi! How are you?
   See you later. Thanks
   I send you this file in order to have your advice
   I hope you can help me with this file that I send
   I hope you like the file that I sendo you
   This is the file with the information that you ask for

Pokud ma uzivatel ve Windows jako preferovany jazyk nastavenou
spanelstinu, tak se tomu virus prizpusobi:

   Hola como estas ?
   Nos vemos pronto, gracias.
   Te mando este archivo para que me des tu punto de vista
   Espero me puedas ayudar con el archivo que te mando
   Espero te guste este archivo que te mando
   Este es el archivo con la informacion que me pediste

Prilozeny soubor je vytvoren z vlastniho tela wormu, za kterym je
pripojen nahodne vybrany soubor (archiv, dokument, spustitelny
soubor) pochazejici z infikovaneho pocitace. Puvodni jmeno je
zachovano, worm si pouze pripoji dalsi priponu (pif, lnk, bat nebo
com).

Po spusteni se Sircam nakopiruje do nekolika ruznych adresaru pod
ruznymi jmeny:

   SirC32.exe, SCam32.exe, SirC32.exe, ScMx32.exe,
   Microsoft Internet Office.exe a rundll32.exe

Pote zrekonstruuje kopii dokumentu, pod jehoz jmenem dorazil a
pokud jde o EXE file, tak ho rovnou spusti (ve snaze nebyt prilis
napadny). Pro ostatni typy souboru se pokusi v
HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\ najit
vhodnou aplikaci k otevreni: Winzip pro .ZIP soubory, Excel pro
.XLS a WinWord (nebo alespon WordPad) pro .DOC.

Sve pravidelne spousteni pri startu pocitace se snazi si zajistit
zapisem do hodnoty Driver32 klice
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ a
modifikaci klice HKCR\exefile\shell\open\command (stejny trik
pouziva napriklad I-Worm/PrettyPark).

Jako vetsina novejsich viru se i tento umi sirit po sdilenych
discich v ramci lokalni site. Na namapovanych discich preferuje
adresare \recycled a \windows a sve spousteni pokusi zajistit
vlozenim radky @win a odkazem na virus do \autoexec.bat nebo
tim ze zameni systemovy soubor run32dll.exe svou kopii.

Petr_FPL Odehnal

Previous message: Mikulas Hypr: "Re: sit na 386 - neco mam"
In reply to: j.c.: "Re: Mozna virus?"
Next in thread: Rozanek Filip: "OT: Übersetzt in Deutsch"
Next in thread: pavel@pilsen.cz: "Re: Mozna virus?"
Reply: Rozanek Filip: "OT: Übersetzt in Deutsch"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ] [ attachment ]

This archive was generated by hypermail 2.1.2 : 04. 09. 2001, 09:11 CEST