McAfee warnt vor hoher Gefahr durch Virus

  • Andreas
Zum ersten Mal seit Wochen (oder gar Monaten?) hat der Hersteller von Antivirussoftware, McAfee, eine Warnung mit der Stufe "HOHE Gefahr" herausgegeben.

Es betrifft mal wieder nur Windows-Benutzer. Der Wurm nutzt die inzwischen längst bekannten Schwachstellen: Doppelte Dateiamensendungen (z.B.: 'bild.gif.exe'). er kann sich selbst weiterverbreiten, dazu benutzt er echte Einträge aus dem Windowsadreßbuch.

Erkennungszeichen: Vorhandensein der Datei SCam32.exe (kann man über Start | Suchen | Dateien suchen).

Er versteckt sich im Papierkorb, weil viele Leute den Papierkorb beim Virensuchen ausschließen (warum eigentlich?).

Die Originalinformation auf Englisch:

Virus Name W32/SirCam@MM
Risk: High

Virus Information
Discovery Date: 07/17/2001
Length: 137,216 Type: Virus
SubType:E-mail
Description Added: 07/17/2001

Virus Characteristics Jul 23 - Due to the increase in samples, the risk assessment
for W32/SirCam@MM has been updated to HIGH.

For detection of W32/SirCam@MM, the LNK and PIF extensions need to be present on to the extension list or SCAN ALL FILES must be chosen.

This mass-mailing virus attempts to send itself and local
documents to all users found in the Windows Address Book
and email addresses found in temporary Internet cached files
(web browser cache).

It may be received in an email message containing the
following information:

Subject: [filename (random)]
Body: Hi! How are you?

I send you this file in order to have your advice
or I hope you can help me with this file that I send
or I hope you like the file that I sendo you
or This is the file with the information that you ask for
See you later. Thanks

--- the same message may be received in Spanish ---

Hola como estas ?

Te mando este archivo para que me des tu punto de vista
or Espero me puedas ayudar con el archivo que te mando
or Espero te guste este archivo que te mando
or Este es el archivo con la información que me pediste

Nos vemos pronto, gracias.

--- end message ---

Attached will be a document with a double extension (the
filename varies). The first extension will be the file type
which was prepended by the virus. When run, the document
will be saved to the C:\RECYCLED folder and then opened
while the virus copies itself to C:\RECYCLED\SirC32.exe
folder to conceal its presence and creates the following
registry key value to load itself whenever .EXE files are
executed:

HKCR\exefile\shell\open\command
\Default="C:\recycled\SirC32.exe" "%1" %*

As the RECYCLE BIN is often on the exclusion list, check
your settings to insure that this directory IS being scanned.

It also copies itself to the WINDOWS SYSTEM directory as
SCam32.exe and creates the following registry key value to
load itself automatically:

HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe

A list of .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF,
.PNG, .PS, and .ZIP files in the MY DOCUMENTS folder is
saved to the file SCD.DLL (the 2nd character of the name
appears to be random) in the SYSTEM directory. Email
addresses are gathered from the Windows Address Book
and temporary Internet cached pages and saved to the file
SCD1.DLL (the 2nd and 3rd character of the name appears
to be random) in the SYSTEM directory.

The worm prepends a copy of the files that are named in the
SCD.DLL file and attaches this copy to the email messages
that it sends via a built in for communicating directly with a
SMTP server, using one of the following extensions: .BAT,
.COM, .EXE, .LNK, .PIF. This results in attachment names
having double-extensions.

The program creates a registry key to store variables for
itself (such as a run count, and SMTP information:(

HKLM\Software\Sircam

The virus may also infect other systems by using open
network shares. On remote systems the file
\windows\rundll32.exe might get replaced with a viral copy.
On those systems, it might also append the autoexec.bat
with the line: @win \recycled\sirc32.exe.

Aside from e-mail overloading, it might delete files on 16
October and/or fill up harddisk space by adding text entries
over & over again to a sircam recycle bin file.

Symptoms
Presence of SCam32.exe in the WINDOWS SYSTEM
directory.

Method Of Infection
This virus sends itself, as an executable, to email
recipients found in the Windows Address Book and
addresses found in cached files. This executable is
appended with a document if one is found in MY
DOCUMENTS folder. The mailing routine talks SMTP to
a server and will use server address found in infected
executables. This address is presumably captured from
the victim's machine which sent the virus to you. If that
server is not in operation, or if relaying is not permitted,
the virus attempts to use each of these three servers,
stopping when the first successful send occurs.

doubleclick.com.mx
enlace.net
goeke.net

Removal Instructions
Use specified engine and DAT files for detection and
removal.

Registry Entries:
The W32/SirCam@MM virus makes changes to the registry.

HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe
HKLM\Software\Sircam
In Infected state: HKCR\exefile\shell\open\command
\Default="C:\recycled\SirC32.exe" "%1"%*

In Clean state this should be:
\Default=""%1"%*"
Note that manual modification of registry items is
dangerous and should not be needed at all as VirusScan
will clean all the registry items automatically.

Quelle:

ciao
Andreas
 
  • SaSa22
  • #Anzeige
Hi Andreas :hallo:... hast du hier schon mal geguckt?
  • Marion
Hallo Andreas,

danke für den Hinweis!

Aber ich muß wieder mal erst den Anhang öffnen, bevor etwas passieren kann?

Lieben Gruß





Marion und ihre 2 Höllenhunde Tau & Tiptoe

 
  • Sabine G
Hi Andreas, danke für den Tipp :verlegen:)

Hi Marion: am besten, Mails mit unbekanntem Absender gar nicht erst öffnen. Weg damit, im Zweifelsfall und wenn es wirklich wichtig war, wirst Du eine neue Nachricht oder einen Anruf erhalten. Das kann Dich zwar auch nur relativ schützen, ist aber immer noch besser, als alles einfach blind anzunehmen.

Und wenn Du ganz unsicher bist (z.B. Bilddaten im Anhang zu vermuten sind:( laß' sie verhungern - bis sie vom Anbieter selbst gelöscht werden.

Es geistert einfach zu viel Schrott im Net herum.

Liebe Grüße

Sabine





...out of the dark - into the light, the brightness...
 
  • Marion
Hallo Sabine,

das mache ich eh - es geht mir nur darum, daß ich den OE mit Vorausansicht habe, das heißt, die Mail an sich wird quasi automatisch geöffnet. Wenn das Problem nur im Anhang steckt, ist das ja kein Problem...

Lieben Gruß





Marion und ihre 2 Höllenhunde Tau & Tiptoe

 
  • Andreas
Hallo Marion, hallo Sabine,

- OE startet manche Anhänge bereits in der Vorschauvariante, ohne daß 'öffnen' gewählt werden muß.

- das fiese an diesem Wurm ist ja, daß er echte Adreßbucheinträge nutzt.
Das bedeutet, angenommen, mein PC wäre infiziert, du würdest mit meinem echten Absender eine echte eMail von mir bekommen. Nur: der Wurm hat die mail abgeschickt, aber für dich ist der Unterschied nicht zu erkennen.
Also, wie auch beim anderen Thema letztens, nicht der böse fremde Mann ist es, sondern eine dir nahestehende Person, von der du schon mal mail bekommen hast.

In diesem Fall gibt es bislang wohl bloß englische und spanische Texte, so daß der Brief dadurch auffalen würde. Aber es ist nur eine Frage der Zeit, bis ein "netter" Mensch das auf deutsch übersetzen wird.

Dan heißt es wahrscheinlich statt
"Hi! How are you? "
"Hallo, wie geht's ?"

statt
"I send you this file in order to have your advice"
dann
"Ich sende dir die angehängte Datei und bitte um deinen Rat..."

Und so nette Leute wie wir, da würden doch viele helfen wollen und die Datei, die vom Kumpel kommt, öffnen. Das ist halt das fiese an diesen email-Würmern, sie tun so freundlich, da kann man relativ leicht drauf reinfallen.

ciao
Andreas
 
  • Sabine G
Eben Andreas :verlegen:)

Wenn Du mir ne Mail mit dem Ref. schickst "Hallo, wie geht's?" oder "Lange nichts von Dir gehört" o.ä. - sorry - aber das würde ich löschen :verlegen:)

Die englischsprachigen sind da zurzeit echt gelackmeiert - meine Schwester hat's vor kurzem selbst erwischt.

Liebe Grüße

Sabine





...out of the dark - into the light, the brightness...
 
  • Andreas
Thema hochschieb ...

Und hier die aktuelle Meldung von c't, mal wieder im typischen c't-Stil geschrieben, und vor allem auf deutsch:
<BLOCKQUOTE><font size="1" face="Tahoma, Verdana, Arial">Zitat:</font><HR>
Der Wurm namens "SirCam" sieht auf den ersten Blick aus wie die x-te Variante eines Loveletter- oder Kournikova-Schädlings. Aber auch dieser Schädling hat Eigenarten, die bisher so noch nicht "in freier Wildbahn" vorkamen. Zum einen, und das ist besonders bedenklich, verschickt der Schädling willkürlich Dokumente aus dem Verzeichnis Eigene Dateien von Windows; damit kompromittiert der Schädling möglicherweise vertrauliche Daten. Durch die enorme Verbreitung des Schädlings sind schon einige interessante Dokumente in unserer Redaktion – und wer weiß, wo sonst noch – eingetroffen.
[/quote]
*ggg*
<BLOCKQUOTE><font size="1" face="Tahoma, Verdana, Arial">Zitat:</font><HR>
Neben der Verbreitungsroutine besitzt "SirCam" laut Symantec noch eine Schadroutine, die mit einer Wahrscheinlichkeit von 20 Prozent am 16. Oktober die Festplatte löschen soll.

"SirCam" behält den Namen der ausgwählten Datei bei – er fügt allerdings den Wurmcode an den Anfang des Files und hängt eine ausführbare Dateiendung (*.lnk, *.pif, *.bat, etc.) an die Datei an und verschickt sie anschließend als Attachment über einen im Wurm-Code integrierten SMTP-Server an Kontakte im Windows-Adressbuch. Für den Betreff der Mail setzt SirCam einfach den Namen des Attachments ein, sodass sowohl Dateianhang als auch Betreff stets unterschiedlich und kein Erkennungsmerkmal sind.

Durch diese Faktoren halten offenbar viele Anwender solche Mails für harmlos – obgleich man sie am stets im Mail-Body auftauchenden "Hi! How are you?" oder "Hola como estas?" in der spanischen Version erkennen könnte. Sogar bei der FBI-Abteilung NIPC (National Infrastructure Protection Center) kursierte der Schädling. Die besondere Ironie in diesem Fall: "SirCam" schnappte sich ein Dokument, dass als "for official use only" gekennzeichnet war und über einen anderen Schädling ("Leave") informierte. Innerhalb weniger Minuten verbreitete sich SirCam im gesamten NIPC-Netzwerk.

Dirk Kollberg, Virenexperte bei Network Associates, weist darauf hin, dass ältere Virenscanner womöglich die Endungen *.pif und *.lnk als ungefährlich einstufen – man sollte also auf jeden Fall überprüfen, ob man die jeweils aktuellste Version eines Virenscanners installiert hat.
[/quote]


ciao
Andreas
 
  • Andreas
Hallo,
Meldung nochmal hochschieb.
Der "SirCam"-Wurm, der erste Virus seit Monaten ,der von McAfee als hohes Risiko eingestuft wird, ist noch aktiv.

Ich habe ihn gerade per email erhalten.

Absender:
Sascha Gutierrez&lt;aon.912522919@aon.at&gt;
Betreff: Britney
Anhang: Britney.zip.com

Typisch ist die Doppel-Extension - Windows mit den Standardeinstellungen zeigt davon nur "Britney.zip" an und unterschlägt das ".com" woran man ein ausführbares Programm erkennen könnte.

Bei mir hat OS/2 den Dateinamen korrekt angezeigt und ich starte natürlich solche unbekannten Programme nicht.

F-Prot 3.10 hat dann auch gleich Alarm geschlagen:
D:\DOWNLOAD\SUSPECT\BRITNEY.COM Infection: W95/Sircam.worm@mm

Der Text der eMail lautet:
"Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks"

Im Gegensatz zu Codered verbreitet sich SirCam auf Endanwender-Computern, sofern Windows und Outlokk installiert ist.

Bedauerlich ist, daß die großen Provider das nicht ausfiltern, was ohne weiteres machbar wäre.

In diesem Fall hat die Telekom Österreich gepennt:
Received: from n831p011.adsl.highway.telekom.at (HELO h2j5z9) ([62.47.47.203]) (
envelope-sender &lt;aon.912522919@aon.at&gt; )
by qmail4.highway.telekom.at (qmail-ldap-1.03) with SMTP
for &lt;Andreas?Schmidt@mail.com.&gt;; 7 Aug 2001 19:06:22 -0000


ciao
Andreas
 
  • Sonic
wahrscheinlich hat mcaffee den wurm selbst entwickelt, um ihren dolles produkt wieder mal anzupreisen...
*lol*
in 5 tagen gibt's dann von denen ein update und ende gut alles gut..
:0)))
"mäc-affe" der held!
 
  • Claudy&Joey
Mit solchen Mails werd ich zur Zeit bombadiert. So ca 2 am Tag, mir reichts, mein Papierkorb is voll davon! Zum Glück hab ich nie die Anlagen aufgmacht, mach ich grundsätzlich nicht, wenn a) sie eins von diesen "gefährlichen" Formaten hat und ich b) nicht genau weiß, was es ist und von wem (Selbst wenn der Absender so in meinem Adressbuch steht, ich weiß, dass mir keiner von meinen Bekannten so einen Schrott ("I send you this file bla bla...") schreiben würde.).

Hab die Mails immer meinem Vater geschickt (Der hat in der Arbeit nen besseren Virenscanner als daheim.), und er hat gesagt, dass die alle infiziert waren, bis auf eine (komischerweise!).

Kann man das nicht "abstellen", dass ich laufend solche Mails krieg
?

Viele Grüße an euch und eure Vierbeiner!


Claudy & Kampfcocker Joey


An meinem Hund hängt mein Herz...
 
  • Andreas
Hallo Claudy,
nein, den Empfang der mails kannst du nicht stoppen. Der Internet Service Provider (also die Internet-Zugangs-Firma) könnte per Filter alle Mails auf Viren durchsuchen und sie entweder zurückschicken oder desinfiziert weiterschicken.
Mein ISP macht das aber leider genausowenig wie deiner.

Deine Taktik ist völlig okay, auch nicht solche mails von Leuten öffnen, deren Absender du kennst. Das Erkennungszeichen "englische Sprache" könnte aber schon im nächsten Wurm wegfallen, d.h. irgendwann wird es einen 'deutschen' oder 'mehrsprachigen' Wurm geben. Der SirCam kann ja schon englisch und spanisch. Ist nur ne Frage der zeit, bis der erste deutschsprechende Wurm rauskommt.

Dann könnte der Text beispielsweise lauten "schau mal, dieser tolle Hund .." Anhang "tollerhund.jpg.pif"

Und da würden wieder welche drauf reinfallen ...

ciao
Andreas
 
  • Claudy&Joey
<BLOCKQUOTE><font size="1" face="Tahoma, Verdana, Arial">Zitat:</font><HR>Original erstellt von Andreas:
nein, den Empfang der mails kannst du nicht stoppen.[/quote]
Mein Vater hat mir vorhin geschrieben; er meint das geht schon, wenn man irgendwie einstellt, dass er diese Mails immer gleich löscht, wenn sie eingehen. Wir probierns mal am Wochenende.

Übrigens, die Absender sind keine aus meinem Adressbuch!? Lauter Namen, die ich nicht kenne...



Viele Grüße an euch und eure Vierbeiner!


Claudy & Kampfcocker Joey


An meinem Hund hängt mein Herz...
 
  • Andreas
Hallo Claudy,
bei den meisten ISPs geht das Löschen vor Auslieferung nicht, wenn es bei deinem ISP geht, dann sei froh.

Woher weißt du aber vor dem Runterladen, ob du die mail löschen willst? Löscht du alle mails von Absendern, die du nicht kennst? Wäre natürlich fatal, wenn z.B. jemand dir zu deiner Webseite schreibt, daß er ein Tier vermittelt haben will.

Nee. Die Absender müssen nicht in deinem Adreßbuch vorkommen, andersrum. Du stehst bei denen in deren Adreßbüchern. In dem Beispiel mit meinem Virenversender aus Österreich kann ich mir auch nicht erklären, warum ich dort im Adreßbuch bin, mit meiner alten eMail-Adresse (andreas_schmidt@mail.com) - wer weiß, vielleicht hat er meine Adresse von meiner Homepage mal gespeichert,weil er vorhatte mir zu schreiben und hat dann doch noch nie geschrieben... Ich habe ihm auch sachlich und höflich darauf aufmerksam gemacht, daß er mir einen Wurm geschickt hat und was er tun könnte, um den loszuwerden, aber bisher keine Antwort.

ciao
Andreas
 
Wenn dir die Beiträge zum Thema „McAfee warnt vor hoher Gefahr durch Virus“ in der Kategorie „Off-Topic“ gefallen haben, du noch Fragen hast oder Ergänzungen machen möchtest, mach doch einfach bei uns mit und melde dich kostenlos und unverbindlich an: Registrierte Mitglieder genießen u. a. die folgenden Vorteile:
  • kostenlose Mitgliedschaft in einer seit 1999 bestehenden Community
  • schnelle Hilfe bei Problemen und direkter Austausch mit tausenden Mitgliedern
  • neue Fragen stellen oder Diskussionen starten
  • Alben erstellen, Bilder und Videos hochladen und teilen
  • Anzeige von Profilen, Benutzerbildern, Signaturen und Dateianhängen (z.B. Bilder, PDFs, usw.)
  • Nutzung der foreneigenen „Schnackbox“ (Chat)
  • deutlich weniger Werbung
  • und vieles mehr ...
Oben Unten