Ahoj Zdeněk,
mám tomu rozumieť tak, že predošlá verzia EMU bola zavírená?
Marek.
----- Original Message -----
From: "Zdenek Adler - Počítač SHARP MZ-800 a emulátory" <zdeneka tu byla ta zakroucena vec seznam.cz>
To: "Účastníci konference Počítač SHARP MZ-800 a emulátory"
<sharpemu tu byla ta zakroucena vec pandora.cz>
Sent: Monday, July 30, 2001 12:00 PM
Subject: !!! POZOR VIRUS !!!
> Dobry den,
>
> Prosim venujte teto zprave pozornost !!!! Za me nepritomnosti byl muj
pocitac infikovan virem "I-Worm.Sircam.A" ktery se pravdepodobne rozeslal na
vsechny adresy v mem adresari. V kazdem pripade pokud se jedna o mail s
prilohou, okamzite jej smazejte. Velmi se za to omlouvam a jako dodatek
zasilam popis a postup pro odstraneni viru (AVG jej detekuje az od
aktualizace 265).
>
> S pozdravem
>
> Zdenek Adler
>
> P.S.: Jako male odskodneni si stahnete novou verzi emulatoru (tentokrate
jiz nezavirovanou) z http://mz-800.hyperlink.cz
>
> utilita pro jeho odstranění
> I-Worm/Sircam.A
> Další roztomilý mazlíček se začal šířit včera ráno (našeho času).
Jde o
cca 134kB bubmbrdlíčka napsaného v Delphi.
>
> Soudě dle zašifrovaných textů pochází z Mexika:
>
> [SirCam Version 1.0 Copyright (c) 2001 2rP
> Made in / Hecho en - Cuitzeo, Michoacan Mexico]
>
> Tento text mimochodem obsahuje i v poněkud "odtučněné" verzi:
>
> [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
> Posílá se mailem, který má jako subject jméno přiloženého souboru a
jehož
text sestavuje z těchto vět:
>
> Hi! How are you?
> See you later. Thanks
> I send you this file in order to have your advice
> I hope you can help me with this file that I send
> I hope you like the file that I sendo you
> This is the file with the information that you ask for
>
> Pokud má uživatel ve Windows jako preferovaný jazyk nastavenou
španělštinu, tak se tomu virus přizpůsobí:
>
> Hola como estas ?
> Nos vemos pronto, gracias.
> Te mando este archivo para que me des tu punto de vista
> Espero me puedas ayudar con el archivo que te mando
> Espero te guste este archivo que te mando
> Este es el archivo con la informacion que me pediste
>
> Přiložený soubor je vytvořen z vlastního těla wormu, za kterým je
připojen
náhodně vybraný soubor (archív, dokument, spustitelný soubor)
pocházející z
infikovaného počítače. Původní jméno je zachováno, worm si pouze
připojí
další příponu (pif, lnk, bat nebo com).
>
> Po spuštění se Sircam nakopíruje do několika různých adresářů pod
různými
jmény:
>
> SirC32.exe, SCam32.exe, SirC32.exe, ScMx32.exe,
> Microsoft Internet Office.exe a rundll32.exe
>
> Poté zrekonstruuje kopii dokumentu, pod jehož jménem dorazil a pokud jde o
EXE file, tak ho rovnou spustí (ve snaze nebýt příliš nápadný). Pro
ostatní
typy souboru se pokusí v
>
> HKLM\'\'Software\'\'Microsoft\'\'Windows\'\'CurrentVersion\'\'App Paths\'\'
>
> najít vhodnou aplikaci k otevření: Winzip pro .ZIP soubory, Excel pro .XLS
a WinWord (nebo alespoň WordPad) pro .DOC.
>
> Své pravidelné spouštění při startu počítače se snaží si zajistit
zápisem
do hodnoty Driver32 klíče
>
> HKLM\'\'Software\'\'Microsoft\'\'Windows\'\'CurrentVersion\'\'RunServices\'\'
>
> a modifikací klíče
>
> HKCR\'\'exefile\'\'shell\'\'open\'\'command
>
> (stejný trik používá například I-Worm/PrettyPark).
>
> Jako většina novějších virů se i tento umí šířit po sdílených
discích v
rámci lokální sítě. Na namapovaných discích preferuje adresáře
\'\'recycled a
\'\'windows a své spouštění se pokusí zajistit vložením řádky tu byla ta zakroucena vec win a
odkazem
na virus do \'\'autoexec.bat nebo tím, že zamění systémový soubor
rundll32.exe
svou kopii.
>
> Upozornění: Nemažte prosím soubory viru dříve, než opravíte záznam v
registru - nebyli byste potom schopni spustit žádný .exe soubor!
>
> AVG ho detekuje od aktualizace 265.
>
>
> ---
> Odchozí zpráva neobsahuje viry.
> Zkontrolováno antivirovým systémem AVG (http://www.grisoft.cz).
> Verze: 6.0.265 / Virová báze: 137 - datum vydání: 18.7.2001
>
>
>
> ---
> Bajecny novy obchod s mobilnimi telefony Go a Twist najdete na
http://www.telstore.cz - vyzkousejte a kupujte lacino!
> --------------------------------------------------------------------------
> Informace o odhlaseni najdete na
http://www.pandora.cz/howto-leaveconf.php3
>