Ahoj Marku,
emulator zavirovany nebyl!!! Slo pouze o to, ze vcera mi me PC v praci
zacalo na vsechny adresy z adresbooku rozesilat nahodne soubory v priloze s
textem, ktery byl uveden v popisu viru.
> > Hi! How are you?
> > See you later. Thanks
> > I send you this file in order to have your advice
> > I hope you can help me with this file that I send
> > I hope you like the file that I sendo you
> > This is the file with the information that you ask for
Pokud jsi tedy nic nedostal, jsem rad :-) Doslo to na cca 20 adres ze
120-ti. Jeste jednou se omlouvam
Zdenek
P.S.: Mam ti poslat zdrojaky emulatoru?
----- Original Message -----
From: <smihla tu byla ta zakroucena vec ceit.sk>
To: Účastníci konference Počítač SHARP MZ-800 a emulátory
<sharpemu tu byla ta zakroucena vec pandora.cz>
Sent: Monday, July 30, 2001 6:48 PM
Subject: Re: !!! POZOR VIRUS !!!
> Ahoj Zdeněk,
>
> mám tomu rozumieť tak, že predošlá verzia EMU bola zavírená?
>
> Marek.
>
> ----- Original Message -----
> From: "Zdenek Adler - Počítač SHARP MZ-800 a emulátory"
<zdeneka tu byla ta zakroucena vec seznam.cz>
> To: "Účastníci konference Počítač SHARP MZ-800 a emulátory"
> <sharpemu tu byla ta zakroucena vec pandora.cz>
> Sent: Monday, July 30, 2001 12:00 PM
> Subject: !!! POZOR VIRUS !!!
>
>
> > Dobry den,
> >
> > Prosim venujte teto zprave pozornost !!!! Za me nepritomnosti byl muj
> pocitac infikovan virem "I-Worm.Sircam.A" ktery se pravdepodobne rozeslal
na
> vsechny adresy v mem adresari. V kazdem pripade pokud se jedna o mail s
> prilohou, okamzite jej smazejte. Velmi se za to omlouvam a jako dodatek
> zasilam popis a postup pro odstraneni viru (AVG jej detekuje az od
> aktualizace 265).
> >
> > S pozdravem
> >
> > Zdenek Adler
> >
> > P.S.: Jako male odskodneni si stahnete novou verzi emulatoru (tentokrate
> jiz nezavirovanou) z http://mz-800.hyperlink.cz
> >
> > utilita pro jeho odstranění
> > I-Worm/Sircam.A
> > Další roztomilý mazlíček se začal šířit včera ráno (našeho
času). Jde o
> cca 134kB bubmbrdlíčka napsaného v Delphi.
> >
> > Soudě dle zašifrovaných textů pochází z Mexika:
> >
> > [SirCam Version 1.0 Copyright (c) 2001 2rP
> > Made in / Hecho en - Cuitzeo, Michoacan Mexico]
> >
> > Tento text mimochodem obsahuje i v poněkud "odtučněné" verzi:
> >
> > [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
> > Posílá se mailem, který má jako subject jméno přiloženého souboru a
jehož
> text sestavuje z těchto vět:
> >
> > Hi! How are you?
> > See you later. Thanks
> > I send you this file in order to have your advice
> > I hope you can help me with this file that I send
> > I hope you like the file that I sendo you
> > This is the file with the information that you ask for
> >
> > Pokud má uživatel ve Windows jako preferovaný jazyk nastavenou
> španělštinu, tak se tomu virus přizpůsobí:
> >
> > Hola como estas ?
> > Nos vemos pronto, gracias.
> > Te mando este archivo para que me des tu punto de vista
> > Espero me puedas ayudar con el archivo que te mando
> > Espero te guste este archivo que te mando
> > Este es el archivo con la informacion que me pediste
> >
> > Přiložený soubor je vytvořen z vlastního těla wormu, za kterým je
připojen
> náhodně vybraný soubor (archív, dokument, spustitelný soubor)
pocházející
z
> infikovaného počítače. Původní jméno je zachováno, worm si pouze
připojí
> další příponu (pif, lnk, bat nebo com).
> >
> > Po spuštění se Sircam nakopíruje do několika různých adresářů pod
různými
> jmény:
> >
> > SirC32.exe, SCam32.exe, SirC32.exe, ScMx32.exe,
> > Microsoft Internet Office.exe a rundll32.exe
> >
> > Poté zrekonstruuje kopii dokumentu, pod jehož jménem dorazil a pokud jde
o
> EXE file, tak ho rovnou spustí (ve snaze nebýt příliš nápadný). Pro
ostatní
> typy souboru se pokusí v
> >
> > HKLM\'\'Software\'\'Microsoft\'\'Windows\'\'CurrentVersion\'\'App Paths\'\'
> >
> > najít vhodnou aplikaci k otevření: Winzip pro .ZIP soubory, Excel pro
.XLS
> a WinWord (nebo alespoň WordPad) pro .DOC.
> >
> > Své pravidelné spouštění při startu počítače se snaží si
zajistit
zápisem
> do hodnoty Driver32 klíče
> >
> > HKLM\'\'Software\'\'Microsoft\'\'Windows\'\'CurrentVersion\'\'RunServices\'\'
> >
> > a modifikací klíče
> >
> > HKCR\'\'exefile\'\'shell\'\'open\'\'command
> >
> > (stejný trik používá například I-Worm/PrettyPark).
> >
> > Jako většina novějších virů se i tento umí šířit po sdílených
discích v
> rámci lokální sítě. Na namapovaných discích preferuje adresáře
\'\'recycled
a
> \'\'windows a své spouštění se pokusí zajistit vložením řádky tu byla ta zakroucena vec win a
odkazem
> na virus do \'\'autoexec.bat nebo tím, že zamění systémový soubor
rundll32.exe
> svou kopii.
> >
> > Upozornění: Nemažte prosím soubory viru dříve, než opravíte záznam
v
> registru - nebyli byste potom schopni spustit žádný .exe soubor!
> >
> > AVG ho detekuje od aktualizace 265.
> >
> >
> > ---
> > Odchozí zpráva neobsahuje viry.
> > Zkontrolováno antivirovým systémem AVG (http://www.grisoft.cz).
> > Verze: 6.0.265 / Virová báze: 137 - datum vydání: 18.7.2001
> >
> >
> >
> > ---
> > Bajecny novy obchod s mobilnimi telefony Go a Twist najdete na
> http://www.telstore.cz - vyzkousejte a kupujte lacino!
>
> --------------------------------------------------------------------------
> > Informace o odhlaseni najdete na
> http://www.pandora.cz/howto-leaveconf.php3
> >
>
>
> ---
> Bajecny novy obchod s mobilnimi telefony Go a Twist najdete na
http://www.telstore.cz - vyzkousejte a kupujte lacino!
> --------------------------------------------------------------------------
> Informace o odhlaseni najdete na
http://www.pandora.cz/howto-leaveconf.php3
>
---
Odchozí zpráva neobsahuje viry.
Zkontrolováno antivirovým systémem AVG (http://www.grisoft.cz).
Verze: 6.0.265 / Virová báze: 137 - datum vydání: 18.7.2001