le 07/09/2001 11:59
Le sujet du mail sera :
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
-----------------------
Le virus est sous la forme d'un raccourci word. J'ai reçu 2 messages sous la forme : ***.doc.pif et ***.doc.com
Il se propage par votre Liste de contact, je ne sais pas encore ces conséquences sur votre systeme.
Voila
le 07/09/2001 15:38
et aussi par icq je crois..
le 07/09/2001 17:46
Tss... pas de chance pour ceux qui ont encore windows... Les pauvres
le 07/09/2001 19:02
le 07/09/2001 19:50
le 07/09/2001 22:45
le 07/09/2001 22:52
Il y a un con du forum qui s'amuse a l'envoyer a tout le monde
C'est vrai quoi, on le recoit tous... C louche... Preez un mail chez ifrance, les messages viroles sont automatiquement effaces, ainsi que les fichiers joint. Veridique.
le 08/09/2001 13:36
le 08/09/2001 15:01
et pr les virus il les delete auto
le 08/09/2001 15:07
Le message électronique que vous avez reçu de f.moustak@wanadoo.fr sur marcodk59@ifrance.com le 09/08/2001 00:35:33 contenait le virus TROJ_SIRCAM.A dans le fichier hdkp4.zip.lnk (action: fichier deleted)
[ Ce Message a été édité par: Marco le 2001-09-08 15:13 ]
le 08/09/2001 15:14
le 08/09/2001 16:32
Donc, l'expediteur n'est la plupart du temps pas au courant d'avoir envoyer un virus.
Il suffit qu'un membre de ce forum est ouvert ce virus, et si il a un de vos noms sur la liste de contact vous serez automatiquement attaqué par le virus.
Comme vous êtes au courant, j'espere que personne ne l'ouvrira ...
le 08/09/2001 16:44
En effet, elle ne ma pas prévenue et a cliqué sur le dossier joint ( elle est pas habitué aux virus
)
Je suis navré, donc normallement toute ma liste de contact hotmail a dut recevoir ce message, + les contacts a ma mere.
Pour me faire pardonner voila l'article du virus en question (SIRCAM ):
--------------------------------------------
Qui se ressemble, s'assemble ! - Updates - 20/07/2001 -25/08/2001- 06/09/2001-
Le moins que l'on puisse dire est que le virus SirCam fait parler de lui.
Ce ver est un "mass mailing" destructeur qui, une fois activé, se transmet par courrier électronique à l'ensemble des adresses figurant dans le carnet d'adresses de l'utilisateur infecté. Le ver SirCam envoie en outre les fichiers aux extensions .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS et .ZIP, présents dans le dossier Mes Documents.
Les laboratoires AVERT ont reçu plus de 300 exemplaires du virus directement, ainsi que quelques centaines de messages de clients l'avisant avoir été infectés ou avoir réussi à arrêter le virus, depuis la date de sa découverte, le 17 juillet 2001. rien que pour nous, à la date du 06 septembre nous sommes à 30 511 e-mails infectés receptionnés !!!
Symptomes
SirCam est un ver Internet qui, une fois activé, sauvegarde les fichiers aux extensions .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS et .ZIP dans le fichier SCD.DLL du répertoire SYSTÈME. Il se propage avec les fichiers mentionnés, auprès de tous les destinataires qui figurent dans le carnet d'adresses Windows. Le ver est un exécutable compilé dont le nom de fichier varie.
Objet du message : Nous avons recensé 56 mots.
Corps du message: Hi! How are you?
I send you this file in order to have your advice
ou I hope you can help me with this file that I send
ou I hope you like the file that I sendo you
ou This is the file with the information that you ask for
See you later. Thanks
--- le même message peut être reçu en espagnol ---
Hola como estas ?
Te mando este archivo para que me des tu punto de vista
ou Espero me puedas ayudar con el archivo que te mando
ou Espero te guste este archivo que te mando
ou Este es el archivo con la informacion que me pediste
Nos vemos pronto, gracias.
Pièce jointe : Un document à double extension avec un nom du fichier variant.
Il faut savoir que ce virus à mis HS des milliers de serveurs, et pas des moindres.
On compte dans les "victimes", Auchan, Matra, Le Département de la Défense Us.
Ce qui est intéressant est que cette attaque, comme celle du virus RED WOrm (Voir notre news sur REDWORM), ont eu lieu pendant et juste après le Black Hat et le DEFCON. Lors dur Black Hat, José Nazario, biochimiste, a fait une intervention en mettant en parallèle virii numériques et virii biologiques. Selon Nazario, le problème des virus, aujourd'hui, est qu'ils sont trop visibles, incapable d'infecter des cibles spécifiques et trop facilement bloqués par les antivirus. Nazario a expliqué que dans le futur les vers seront écrits avec un but et une cible spécifique à l'esprit. Ca promet !
Le remède contre Sircam
:: Méthode logiciel
On vous prpose pas moins de 6 antivirus gratuit contre ce microbe. - ICI : http://www.zataz.com/zataz/antivirus2.htm
:: Méthode manuelle
D'abord, couper votre connexion au web.
Lancez REGEDIT.EXE en cliquant sur démarrer puis exécuter.
Cherchez la clé: HKEY_CLASSES_ROOTexefileshellopencommand puis effacez la clé C:RecycledSirC32.exe.
Allez ensuite à la clé : HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices et effacez Driver32
Allez ensuite à la clé HKEY_LOCAL_MACHINESoftwareSircam et effacez le fichier Sircam
Ensuite, sous Dos, allez dans le répertoire System et tapez : ATTRIB -S -H -R SCAM32.EXE ca va effacer le trojan.
Toujours sous DOS, tapez Type DEL SCAM32.EXE qui effacer le programme exécutable.
Retournez sous Windows. Cherchez le fichier RUN32.EXE puis effacez RUNDLL32.EXE et renommer RUN32.EXE en RUNDLL32.EXE.
Terminez par éditez avec le Bloc-notes le fichier AUTOEXEC.BAT et effacez @win recycledSirc32.exe. Relancez votre PC, n'oubliez pas d'effacer le contenu de votre poubelle.
Cette technique est assez hard pour les ceux qui ne sont pas habitués à mettre la main à la patte dans windows. Télécharger dans notre page antivirus, l'outil gratuit, qui vous le fera sans problème. Dernière chose, ARRETEZ de cliquer sur n'importe quoi. Ce virus n'a rien d'exceptionnel. Le tout est de ne PAS CLIQUER !
- Update - 25/07/2001-
Sysadmin75, un lecteur, nous a fait remarquer que des variantes de ce virus vérolent les PCS sans même cliquer sur la piéce jointe.
Merci aux services presse de Trend Micro, NAI, Sophos, Porter Novelli France.
---------------------------------------
Encore mes plus sincères excuses a ceux qui ont reçu un mail.
P.S : XstaZ tu n'est pas dans ma liste msn donc c quelqu'un d'autre qui te l'a envoyé
[ Ce Message a été édité par: MOïSE le 2001-09-08 16:50 ]
le 09/09/2001 12:14
Marco > heureux de t'avoir sauve
le 19/12/2010 22:39
Il vous est également possible de procéder à une désinfection manuelle en suivant la procédure suivante :
* Supprimer les fichiers Sirc32.exe et Sircam.sys
* Supprimer le fichier c:\windows\Runddl32.exe
* Renommer le fichier c:\windows\Run32.exe en c:\windows\Rundll32.exe
* Editer le fichier c:\autoexec.bat et supprimer la séquence suivante : @win \recycled\sirc32.exe
* Dans la base de registre (à éditer en exécutant c:\windows\regedit.exe)
o Dans HKEY_CLASSES_ROOT/exefile/shell/open/command, modifier la chaîne de données (en double-cliquant sur Défaut) et entrer la chaîne suivante :
"%1" %*
*
*
*
*
o Dans HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices, supprimer la clé Driver32=C:\WINDOWS\SYSTEM\SCam32.exe
o Dans HKEY_LOCAL_MACHINE/Software, supprimer le dossier Sircam
* Redémarrer votre ordinateur