troyen ,urgent

Par Ethel Eauclaire le 29/10/2001 à 21:22:00 (#345121)

Ma boite email s'est mise a envoyer des messages etranges en anglais : hi !How are you I have sent you this file in order to have your advice .See you later thanks .Une gentille personne m'a prevenue que le fichier etait un troyen ou plus exactement ceci :

TROJ_SIRCAM.A
Risk rating:
Virus type: Trojan
Destructive: Yes

Aliases:
SCAM.A, TROJ_SCAM.A, W32.Sircam.Worm@mm

Description:
This worm is a high-level program created in Delphi that propagates via email using SMTP commands. It sends copies of itself to all addresses listed in an infected user's address book and in temporary Internet cached files. It arrives with a random subject line, and an attachment by the same name.

This worm also propagates via shared network drives.

Je ne sais pas comment je l'ai attrapé mais j'ai remedié en placant un bouclier .Je suis désolé de ceci et j'espere qu'il ne causera pas de dommage

Thomas ,le joueur derriere Ethel

Par Jawk le 29/10/2001 à 21:30:00 (#345122)

heuu je me suis mangé Sircam via la bécane de ma mother (sa m'apprendra à lui refiler des programmes et scanner sur son PC).

C'est une belle cochonnerie ce truc, met à jour ton anti-virus ( au choix AVXpro, Toolkit, NAV):
les effets de cette ***:
il se copie sur ton hdd (mais ne reconnais pas les partoches ouf), dans windows\system
il modifie une ligne de commande pour infecter tout tes exécutables (a chq * que tu lance un .exe il se lance =t).
une fois un certains nb d'exécutables infecté, il se lance et efface tout sauf les .dll, les .bat, et explorer.exe (il te reste pas grd chose pour pleurer si t'as pas un Winghost.gho)

Ne pas se laisser infecter, c simple tu lance pas le fichier attaché avec la double extension

Par aqua le 29/10/2001 à 21:30:00 (#345123)

Juste une précision : pour ceux qui ont reçu un mail de ce genre, supprimez le mail sans ouvrir la pièce jointe !

Par Conrad McLeod le 29/10/2001 à 21:35:00 (#345124)

Une fichue plaie découverte sur un micro du boulot... qui n'appréciait pas la présence du virus Nimda non plus.
Merci de l'avertissement...

Je rappelle toutefois qu'il est toujours bon de consulter la liste des hoaxes avant de paniquer. Ce n'est pas un hoax, malheureusement pour toi.

Par Ethel Eauclaire le 29/10/2001 à 21:44:00 (#345125)

j'ai fait plus de recherches et voila ce que j'ai appris :

Ce vers développé en Delphi ce propage par eMail en utilisant des commandes SMTP.
Il se duplique en émettant un eMail avec une pièce jointe qui dispose de deux extensions successives (FNAME.EX1.EX2).
FNAME.EX1 est un fichier aléatoire récupéré dans le dossier personnel de la machine de l'utilisateur infecté.
EX2 peut avoir ce type d'extension aléatoire :
.LNK, .EXE, .COM, .BAT or .PIF


Voici le type d'eMail envoyé par une station infectée...Il est envoyé sous deux langages... Anglais ou Espagnol...

Subject:nom de la pièce jointe

Message Body:

Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks

Hola como estas ? Te mando este archivo para que me des tu punto de vista
Nos vemos pronto, gracias.
Attachment :(FNAME.EX1.EX2)

Autres variantes du message...


I hope you like the file that I sendo you
This is the file with the information that you ask for
I hope you can help me with this file that I send

Este es el archivo con la informacion que me pediste
Espero te guste este archivo que te mando
Espero me puedas ayudar con el archivo que te mando


Une fois executé, il copie deux fichiers :
SCAM32.EXE dans le répertoire système et SIRC32.EXE dans la corbeille .

Puis il modifie ces clefs de registres :
HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServicesDriver32=%systemdir%\Scam32.exe

HKCR\exefile\shell\open\command= C:\Recycled\SirC32.exe %1 %*

HKLM\Software\SirCam


Ce vers se déplace aussi par le réseau avec des répertoires partagés...Et supprime tout fichier qui peut être supprimé...

Par Conrad McLeod le 29/10/2001 à 21:49:00 (#345126)

D'où l'importance de ne pas exclure les fichiers présents dans la corbeille des scans et boucliers...

Par Ethel Eauclaire le 29/10/2001 à 23:13:00 (#345127)

Il y a du nouveau : ayant installé un bouclier antitroyen ,je viens de me faire prevenir par lui qu'un petit rigolo avait tenté sans succes de penetrer mon ordinateur .Mon bouclier l'a empeché de rentrer et m'a meme donné les indications suivantes : le nom est Deep Throat ,l'adresse 200.45.131.122 le port local 2140 et le remote 60000 .a votre avis? Que dois je faire?

Par Sir Arhymann le 29/10/2001 à 23:25:00 (#345128)

J'ai eu aussi le Sircam, embettant m

Par Sir Arhymann le 29/10/2001 à 23:30:00 (#345129)

J'ai eu aussi le Sircam, embettant mais pas trop dangereux heureusement...

Des "désinfecteurs" sont disponibles gratuitement sur les sites de Norton et des autres antivirus...