image

Sir Cam nog niet op retour

donderdag 26 juli 2001, 11:55 door Redactie, 6 reacties

De Sircam worm blijft nog steeds erg actief. The Register meldt dat Microsoft's Hotmail emaildienst het virus niet herkent, omdat men daar de virusdefinities niet vaak genoeg vernieuwt.

Ook de FBI werd slachtoffer van Sircam, en stuurde een vertrouwelijk document naar willekeurige email-adressen.

Mark Canter heeft regels voor het Snort IDS gemaakt die Sircam detecteren.

Moeten providers email scannen op virussen ? Dat is de vraag van onze poll. Laat je stem horen!

Reacties (6)
26-07-2001, 12:32 door Steije
Vreemd, kreeg laatst bij Hotmail toch de melding dat er een virus in een e-mail zat (Sirc@mm dus)
26-07-2001, 12:58 door Anoniem
Wiew Wiew vernieuwt :)
26-07-2001, 17:04 door Anoniem
Tering, overal waar ik kijk lees ik elke keer weer "SirCam stuurt prive documenten door naar willekeurige mensen in je adresboek" Mis-informatie van de bovenste plank... Hierboven ook "Vertrouwelijk FBI document doorgestuurd"..

HET DOCUMENT WORDT HELEMAAL NIET DOORGESTUURD !!!!!!

Zijn ze zelfs bij de FBI zo naief of is dit de editor bij de news-site waar dit bericht staat?!?! In tegenstelling tot wat elke nieuws-site je doet vermoeden: het SirCam wormpje doet niets anders dan DE NAAM VAN EEN DOCUMENT gebruiken om zichzelf te verstoppen.. Dit document heeft NIETS van het oorspronkelijke document in zich - t'is een executable.. Een hernoemde EXE..

Dus ik weet niet wat het gros van de nieuws-editor bezielt maar ze hebben het HELEMAAL verkeerd !!
27-07-2001, 15:00 door Anoniem
Zal wat zijn zeg, stuur maar eens een document van 20 meg door. Dat zal voor veel opstoppingen zorgen. Ach eerst even logisch nadenken en dat pas iets publiceren zeg ik altijd.
27-07-2001, 15:04 door Anoniem
Originally posted by Unregistered
Tering, overal waar ik kijk lees ik elke keer weer "SirCam stuurt prive documenten door naar willekeurige mensen in je adresboek" Mis-informatie van de bovenste plank... Hierboven ook "Vertrouwelijk FBI document doorgestuurd"..

HET DOCUMENT WORDT HELEMAAL NIET DOORGESTUURD !!!!!!

Zijn ze zelfs bij de FBI zo naief of is dit de editor bij de news-site waar dit bericht staat?!?! In tegenstelling tot wat elke nieuws-site je doet vermoeden: het SirCam wormpje doet niets anders dan DE NAAM VAN EEN DOCUMENT gebruiken om zichzelf te verstoppen.. Dit document heeft NIETS van het oorspronkelijke document in zich - t'is een executable.. Een hernoemde EXE..

Dus ik weet niet wat het gros van de nieuws-editor bezielt maar ze hebben het HELEMAAL verkeerd !!

Kennelijk heb jij nog niet zelf naar het attachment gekeken, want het document zit er wel degelijk bij. Haal de EXE maar eens door strings onder UNIX en kijk naar het laatste gedeelte.
13-08-2001, 19:28 door Anoniem
Originally posted by Unregistered


Kennelijk heb jij nog niet zelf naar het attachment gekeken, want het document zit er wel degelijk bij. Haal de EXE maar eens door strings onder UNIX en kijk naar het laatste gedeelte.


Ik heb deze gisteren binnengekregen en ramp o ramp opengemaakt. Zit dan ook stomweg verdoken in een tachement genaamd cuteftp(10.375kb).Zip(346kb).pif Heb dus enkel open gedaan voor in de zip de read.me te lezen om te bekijken wat het dokument was. Had te laat door dat dit een pif was.
Wat gebeurde er verder? Binnen de 10 min harde schijf vol. dan internet bestanden verwijderd, 10 minuten later opnieuw. bleef dus constant downloaden, allemaal cookies. 600 Mb binnen 10 min. Heb toen computer reset en dan kan je bepaalde programma's niet meer opstarten want die vragen plots naar het bestand c:/sirc32.exe. Toen wist ik hoe laat het was.

volgende sircam.inf geinstalleerd en probleem was van de baan.

[Version]
Signature="$Chicago$"

[DefaultInstall.NT]
DelReg=SirCam
AddReg=Fix_SirCam
DelFiles=Del_SirCamSys,Del_SirCamRec
RenFiles=Ren_rundll

[DefaultInstall]
DelReg=SirCam
AddReg=Fix_SirCam
DelFiles=Del_SirCamSys,Del_SirCamRec
RenFiles=Ren_rundll

[DestinationDirs]
Ren_SirCam=10
Del_SirCamSys=11
Del_SirCamRec=30,recycled

[SirCam]
HKLM,SOFTWAREMicrosoftWindowsCurrentVersionRunServices,"Driver32"
HKLM,SOFTWARESirCam,

[Fix_SirCam]
HKCR,exefileshellopencommand,,0,"""%1"" %*"

[Del_SirCamSys]
SCam32.exe,,,1

[Del_SirCamRec]
SirC32.exe,,,1

[Ren_rundll]
rundll32.exe,run32.exe
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.