HP
Legend
Moneymaker
|
Ebenfalls vom Harald habe ich 17 ! Emails bekommen, die denselben Inhalt und immer einen anderen Betreff aufweisen.
Es gibt bereits einen Thread darüber. Bitte passts auf - mich hats damals voll erwischt 
@h4p3
Wie kommt der bitte an unsere Emails ??? Weil soviele vom Forum betroffen sind. I kenn erm ned 
greetz
Gary Hat viel Geld geboten und hab daraufhin saemtliche User Informationen verkauft *g* Na Scherz beiseite, hab heute eine derartige mail von einem MadOnion Mitarbeiter bekommen, also wunderts euch net. Es gibt nur mehr Luschen im Netz!
|
Simml
asdf
|
hab den virus auch schon bekommen: als betreff war 3dmark2000_keygen ... jetzt verschicken die schon warez  der absender war irgend a aon.at adresse ... das schwein hat sie mir auch meine oc-it.com adresse geschickt ... versteh i ned ganz mfg simml
|
bogi
Leider selten am board :(
|
dieser thread war zwar schon ein bisschen älter, aber beim durchsuchen meiner gelöschten mails habe ich folgende gefunden:
"Kaspersky Lab, eine internationale Software-Schmiede im Bereich
Datensicherheit, warnt die Benutzer vor dem neuen Internet-Wurm 'SirCam',
der sich durch eMail und lokale Rechnernetze verbreitet.
Kaspersky Lab erhielt bereits am 18. Juli Meldungen über das Auftreten des
Wurms 'in the wild' und hat bereits am selben Tag ein Update zum Schutz vor
dem Wurm zur Datenbank von Kaspersky Anti-VirusT hinzugefügt.
Technische Beschreibung
Hierbei handelt es sich um einen gefährlichen Wurm, der sich per Internet
und lokale Rechnernetze verbreitet. Die Trägerdatei ist eine mit Delphi
geschriebene Windows-Anwendung, die etwa 130 KB groß ist. Bei seiner
Verbreitung kann der Wurm neben seinen eigenen Dateien auch zusätzliche
DOC-, XLS- und ZIP-Dateien anheften (siehe unten), sowie auch Dateien in
anderen Formaten, so dass die Größe des Attachments 130 KB überschreiten
kann.
Nach dem Starten (zum Beispiel durch Doppelklick auf das Icon der
angehängten infizierten Datei), dringt der Wurm ins System ein, versendet
die infizierten Nachrichten (die angehängte Dateien mit einer Wurmkopie
umfassen), infiziert Computer im LAN, die gerade eingeschaltet sind (falls
es im Netz Festplatten gibt, auf die er sich speichern kann), und führt - je
nach Systemdatum - eine eingebaute Routine aus.
Email-Verbreitung
Der Wurm verschickt sich von den infizierten Rechnern per eMail als
angehängte Datei mit einem beliebigen Namen und doppelter Extension:
filename.ext1.ext2
Die Extension 'ext1' kann eine der folgenden Varianten sein: DOC, XLS, ZIP,
EXE. Die Extension 'ext2' wird ebenfalls willkürlich aus PIF, LNK, BAT, COM
gewählt, zum Beispiel:
feb01.xls.pif
normas.doc.bat
'filename.ext1' wird aus einer Datei erstellt, die im infizierten System
vorhanden ist. Der Wurm sucht bei der Versendung nach 'ext1'-Dateien (siehe
oben), und verwendet den vollen Dateinamen als Namen des infizierten
Anhangs. Somit beinhalten die Dateien, die vom infizierten Computer gesandt
werden, zwei Teile:
1. den Wurm-EXE-Code;
2. die angehängten zusätzlichen Daten, die willkürlich im infizierten
Computer ausgewählte DOC/XLS/ZIP/EXE-Dateien darstellen. Diese angehängte
Datei wird dann durch den Wurm benutzt, um seine Aktivität zu verbergen
(siehe unten).
Als Nebenwirkung dieser 'angehängten Dateien' kann es dazu kommen, dass
vertrauliche Informationen verbreitet werden.
Der Betreff der infizierten Nachrichten ist ein 'Dateiname', wie oben
beschrieben (und zwar der Name der angehängten Datei).
Der Body ist entweder in Englisch oder Spanisch gehalten. Die ersten und
letzten Zeilen der Meldung sind immer dieselben:
Die erste Zeile: Hi! How are you? Hola como estas?
Die letzte Zeile: See you later. Thanks Nos vemos pronto, gracias.
Die Varianten des Texts zwischen diesen Zeilen sind:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send to you
This is the file with the information that you ask for
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la información que me pediste
Der Wurm bekommt die eMail-Adressen weiterer 'Opfer' durch Scannen von
Dateien, in denen eMail-Adressen gespeichert sein können: SHO*, GET*, HOT*,
*.HTM, *WAB, und einige andere. Das Suchresultat wird dann durch den Wurm in
den 'unechten' DLL-Dateien im Systemverzeichnis gespeichert:
SCD.DLL-Datei beinhaltet die 'ext1'-Dateienliste
SCH1.DLL, SCI1.DLL-Dateien enthalten die Liste der eMail-Adressen, die in
den gescannten Dateien gefunden wurden.
Es können auch SCT1.DLL- und SCY1.DLL-Dateien im Systemdirectory gefunden
werden, in diesen Dateien speichert der Wurm zusätzliche Daten.
Installation im System
Der Wurm kopiert sich in die folgenden Verzeichnisse:
1. \RECYCLED-Verzeichnis im Windows-Laufwerk unter dem Namen 'SirC32.exe',
zum Beispiel:
C:\WINDOWS\
C:\RECYCLED\SirC32.exe
2. Windows-Systemdirectory unter dem Namen 'SCam32.exe'.
3. Windows-Directory unter dem Namen 'ScMx32.exe'.
4. Windows Autostart-Verzeichnis unter dem Namen 'Microsoft Internet
Office.exe'.
Zu beachten ist, dass der Wurm nicht alle diese Schritte beim ersten
Autostart durchführt, einige der Dateien werden je nach den aktuellen
Bedingungen erstellt.
All diese Dateien bekommen das Attribut 'Hidden'.
Die zwei ersten Dateien werden dann in den Autostart-Bereich der
Systemregistrierung eingetragen:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Driver32 = %windows system directory%\SCam32.exe
HKCR\exefile\shell\open\command
SirC32.exe
Der Wurm greift dann eine angehängte 'decoy'-Datei (sieh oben) im Windows
TEMP-Verzeichnis heraus. Diese 'decoy'-Datei trägt den Namen
'filename.ext1'. Der Wurm öffnet diese Datei mit WINWORD.EXE oder
WORDPAD.EXE, EXCEL.EXE, WINZIP.EXE abhängend von 'ext1'.
Der Wurm erstellt auch zusätzliche Registry Keys und speichert seine
internen Daten unter dem Key HKLM\SOFTWARE\SirCam.
Netzwerkverbreitung
Um sich über ein lokales Rechnernetz zu verbreiten, ermittelt der Wurm die
vorhandenen Netzwerkressourcen (alle freigegebenen Verzeichnisse auf
Remote-Rechnern), und kopiert sich dann dorthin. Wenn es in dem
freigegebenen Verzeichnis ein '\recycled' Verzeichnis gibt, kopiert sich der
Wurm unter dem Namen 'SirC32.exe' dorthin:
\recycled\SirC32.exe
Der Wurm fügt dann am Ende der 'AUTOEXEC.BAT'-Datei folgenden Befehl hinzu:
@win \recycled\SirC32.exe
Wenn es dort ein '\Windows'-Verzeichnis gibt, benennt der Wurm die
'RUNDLL32.EXE'-Datei mit dem 'RUN32.EXE'-Namen um und danach überschreibt
die ursprüngliche 'RUNDLL32.EXE' mit seiner eigenen Kopie.
Der Wurm setzt für seine Kopien das Dateiattribut 'versteckt'.
Schadenskomponente
Je nach Systemdatum und -Zeit entfernt der Wurm mit einer Wahrscheinlichkeit
von 1:20 willkürlich alle Dateien und Unterverzeichnisse aus dem
Windows-Verzeichnis.
Mit einer Chance von 1:50 erstellt der Wurm Beim Systemstart eine
SirCam.Sys-Datei im Stammverzeichnis des aktuellen Laufwerks und schreibt
einen der folgenden Texte hinein:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright © 2001 2rP Made in / Hecho en - Cuitzeo,
Michoacan Mexico]
Es scheint, dass der Wurm diese Texte viele Male schreibt, um den
Festplattenraum zu füllen.
Diese Strings (wie auch die meisten anderen Text-Strings) sind im Wurm-Body
verschlüsselt."
|
Morphias
overclock your life
|
also i hab keine bekommen aber i hab grad einen virus auf meiner hd entdeck, die hat sich in meine ACDC.exe gehackt, die sau 
|
LTD
frecher fratz
|
ich hab grad den sourcecode für melissa auf meiner hd entdeckt...
hab garnit gewußt das ich den hab!
|
Morphias
overclock your life
|
bei mir steht das system für 1 min
alle HDs laden voll
und danach geht alles wieder normal, des war alle 20 min, jetzt auf einmal is nimma, najo mal spant obs jetzt weg is
|
Morphias
overclock your life
|
ah des wor der deppade neue virus do den ich gehabt habe
is foi geil, den ahbe ich durchs normale i-net surfen bekommen
jojo der virus kon scho wos *g*
|
Anmeldung