SirCam virus gaat op vernielingstocht
"I send you this file in order to have your advice", zo beginnen de mailtjes die door het SirCam virus worden uitgestuurd. Gebruikers die het bij een dergelijk mailtje gevoegde bestand openen stellen gevoelige gegevens bloot aan de nieuwsgierige ogen van degenen wier emailadres in hun adresboek of andere bestanden voorkomt: SirCam stuurt aan hen willekeurige van de besmette PC afkomstige bestanden aan hen toe. Alsof dit niet genoeg was, gaat het virus op 16 oktober aanstaande de schijven van besmette gebruikers wissen. De slachtoffers zullen willekeurig gekozen worden uit besmette computers waarvan de datum in het formaat "Dag/Maand/Jaar" is ingesteld. Computers die in "Maand/Dag/Jaar" formaat opereren zullen niet aangetast worden. Het SirCam virus staat op dit moment op de vierde plaats in de virus top-10 op antivirus.com. Tien tot honderdduizenden pc's zijn waarschijnlijk besmet en kunnen ten slachtoffer vallen aan de slachting die SirCam probeert aan te richten. Verantwoordelijke PC-gebruikers die Windows 95/98/NT/Me of Windows 2000 gebruiken doen er verstandig aan een virusscanner te installeren en deze up-to-date te houden. Onder andere anti-virus fabrikant McAfee heeft een gratis programma beschikbaar om een door SirCam besmette PC van het virus te ontdoen.
Update
Softwarebedrijf F-Secure maakte vandaag bekend dat de verwachte schade door SirCam zal uitblijven. Volgens hen bevat het virus een programmeerfout die voorkomt dat het op de 16 oktober
in actie komt.
Pierpanda.
Maar zal wel niet..ze zijn immers ook zo stom geweest om die mail te openen..
Kleine kans inderdaad, bij Sophos hebben ze er nog eens goed naar gekeken, en ze denken dat SirCam te buggy is om echt schade aan te kunnen richten.
Ik betrap mezelf er net op dat ik stiekem een beetje HOOP dat Sircam een hoop Clueless lusers 'opruimt' en dat ze daarna hun les wel geleerd hebben..
Maar zal wel niet..ze zijn immers ook zo stom geweest om die mail te openen..
Ja het lijkt allemaal wel niet zo erg, als het je zelf niet overkomt. Een persoon wat ik een paar keer op mijn computer laat, heeft dus ook een virus (magistr) gedownload. En nu is alles weg. 2 jaar werk. Het is net alsof je huis is afgebrand. Zo iets moet je NIEMAND toewensen.
Onbekende attachments zomaar openen is dom, maar 2 jaar lang geen backups maken, en ze dan zo kwijtraken..tja..
Tja... 2 jaar lang geen backups maken is net zo stom als een attachment openen met virus !
Overigens op antivirus.com wordt de intensiteit van de virussen gemeten op inschattingen en gemeten support-calls.
Sinds de 12e gaat het weer goed loos, helaas :-(
Ik ben ondertussen zo ver dat ik de neiging krijg om besmette/backdoored IIS boxes maar gewoon de echo:Y|format c: te geven.
maar ja, dat is stout, dus zal ik het aan abuse@[noem ISP] moeten overlaten..
Maar het wordt GVD eens tijd dat lusers hun kop uit hun aars halen en opletten, vooral de zelfkazers die zo nodig thuis ook een server moeten draaien..
Sircam ruimt 'zichzelf' tenminste op..als het niet te buggy is..
wat me wel wat lijkt is een eigen ding erheen tftp'en dat nimda opruimt en in IIS gaat zitten en die verdomde besmettingsrequests blokkeert (of alle internet verkeer op 139 en 80 van mijn part!) en dan een afschrikwekkend full screen plaatje over de console heen pleurt met daarbij YOUR COMPUTER IS COMPROMISED BY NIMDA@W32 PATCH IMMEDIATLY OR PREPARE TO SUFFER! :)
maar ik heb geen idee of er al zoiets is en ik zit bepaald niet into windows-coding..
ja, dat snap ik, en ik heb de format opmerking ook gemaakt omdat ik ook niet een beetje pissig word als ik het godganse weekend (want dan willen de lusers spelen???) door een paar machines word platgescand.
Maar je MAG gewoon niet ingrijpen, niet door de machine instruxies te voeren tenminste, vind ik. Wie garandeerd jou dat je met je goedbedoelde zelfpatch niet ergens iets vreselijk op z'n bek laat gaan, met misschien wel heel vervelende gevolgen.
Geef het door aan de betreffende ISP, met de relevante loglinez, en dat je een NIMDA scanner gevonden hebt..
Tip: check met telnet op poort 80 effe if er een sever draait en of die rottige javascript-regel er bij staat..
dat kunnen ze hogelijk waarderen..
Peaz
> ergens iets vreselijk op z'n bek laat gaan, met misschien wel heel
> vervelende gevolgen.
Ja deze kwestie ligt zowieso gevoelig.. Maar dan nog, wie zegt dat een of andere k1dd0 niet gebruik maakt van die computer als hop om bijvoorbeeld het pentagon te cracken? (da's nog erger dan die format..) Aangezien het alles voor iedereen nog wijder open zet dan het al stond.:eek: dus het is zaak zo snel mogelijk daar een eind aan te maken.
En eigen rechter, ach, da's niet helemaal waar. Daarmee beoordeel je niemand. (alleen op het feit dat ze misschien NOG STEEDS hebben nagelaten de juiste service packs te installeren maybe). Als ze geen mailserver open hebben staan krijg je toch al gauw de neiging een documentje naar de desktop te kopieren o.i.d.
Anyway, ik ben zelf eerder zo iemand die de desbetreffende regels in het apache-logfilter gooit en de kwestie verder negeert :D
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
