SirCam verstuurt nu zelfs al gevoelige FBI-informatie

Al ongeveer een week raast de Sircam-worm door de internetwereld, waarbij maar weinig mensen een besmet mailtje bespaard is gebleven. Ook een mailbox met ruim twintig Sircam-berichten erin is geen uitzondering meer. Nadat het kwaadwillende programma gestart wordt, stuurt Outlook op automatisch verzoek een mailtje naar bekenden uit het adressenboek, waarbij een bestand uit de 'Mijn Documenten'-directory meegestuurd wordt.

WebWereld maakt er melding van dat zelfs de FBI al slachtoffer is geworden van Sircam. Nu is het versturen van een bestand op zich normaal gesproken niet zo erg (afgezien van dat het virus zich hierin genesteld heeft uiteraard), maar onderzoeker Vince Rowe heeft door het starten van het programma een behoorlijke blunder begaan. Deze FBI-medewerker van de zeer toepasselijke afdeling computerbeveiliging heeft op deze manier vertrouwelijke documenten verstuurd naar onbevoegden. Hoeveel mensen de bestanden precies gekregen hebben is nog onbekend, maar aangezien ze als 'official use only' genoteerd stonden is elke persoon er eentje teveel:

Tenminste drie mensen hebben laten weten dat ze een FBI-document hebben ontvangen. Een van de ontvangers is de 23-jarige Belg Niels Heinen. Hij onderhoudt een site over hacks en vermoedt dat Rowe zijn site heeft bezocht. Het Sircam-virus verzamelt de adressen waarnaar het zichzelf verstuurt onder meer door te kijken in de cache van de internetbrouwser.

Het incident komt op een voor de FBI ongelukkig moment. Een commissie van de Amerikaanse Senaat houdt binnenkort een hoorzitting over de effectiviteit van de afdeling computercriminaliteit van de FBI. Eerder kwam dezelfde afdeling van de FBI al onder vuur te liggen vanwege trage waarschuwingen voor virussen.

Met dank aan Smoothy_ voor de tip.

Lees meer

Reacties (82)

Koffie 25 juli 2001 20:52

Wat ik me nu direct afvraag, Zou dit verzonden zijn met een PCtje die aan een inbel verbinding hing (laptop, of iemand met een modempie), of is de beveiling bij de FBI echt zo brak (indien het verhaal dus op juistheid berust...).

Als het via de gateway verlopen is, is het nogal slecht gesteld met de beveiliging daar.
Dat betekent:

- Geen scanning op inkomende mail
- Geen local virusscanner op de clients

Echter denk ik dat het een dailup is , anders was het namelijk ook intern verzonden.
En dan zal er vrij snel toch iemand moeten snappen dat er iets loos is.

Verwijderd @Koffie • 26 juli 2001 00:01

Als we de virusscanners hebben die al up-to-date zijn, helpen we heel wat problemen de wereld uit.

mjax @Verwijderd • 26 juli 2001 09:14

Het is volgens mij geen kwestie van techniek om dit soort problemen te voorkomen, maar een kwestie van mentaliteit van de gebruiker. Als de gebruiker goed doordrongen is van de gevaren van attachments en hiermee verstandig omgaat, heb je een virusscanner bij wijze van spreken niet meer nodig. Systeembeheerders onder ons: begin eens met je gebruikers te her-opvoeden!

Bezulba @mjax • 26 juli 2001 10:28

ooit geprobeert als systeembeheerder gebruikers op te voeden? nou veel plezier! domme koeien weten na 10x nog niet dat scandisk niet 1 of ander virus is... zucht... en ik ben altijd zo geduldig....

Verwijderd @mjax • 26 juli 2001 14:06

Het is volgens mij geen kwestie van techniek om dit soort problemen te voorkomen

Een beetje veilige software kan ook heel goed helpen

Bigs @Koffie • 25 juli 2001 21:24

Wat heeft dat er nou mee te maken? Zogauw je dat virus krijgt gaat ie sturen, dat houdt geen gateway of firewall tegen hoor.

Koffie @Bigs • 25 juli 2001 21:56

Wel als je gewoon zorgt dat je LOKALE virusscanners voldoen up2date zijn.
Elk zichzelf respecterende AV toko heeft een EnterPrise versie van hun pakket.
Hiermee kun je de clients automatisch een nieuwe AV.def file laten importeren.
Meestal is het dan ook zo dat de gebruiker het niet eens kan tegenhouden (die update, dit onder het mom van ' Het inloggen duurt zo lang, dus drukte ik op CANCEL).

Nogmaals, ik denk dat we te weinig weten om te oordelen (echtheid van bericht, manier van verzenden (modempje), type LAN en softwar etc...), maar zoals ik dit nu zie , is het naast een (l)user fout , ook een grove fout van het systeembeheer daar.

TheGhostInc @Koffie • 26 juli 2001 20:17

Volgens mij waren ze net onder vuur komen te liggen dat ze zo laat telkens waarschuwden voor virussen, dus de kans dat ze een up to date virus scanner hebben draaien wordt daarmee ook niet groter.

* 786562 TheGhostInc

ronaz 25 juli 2001 21:09

Ik vind het wel heel erg triest dat hieruit weer blijkt dat het Amerikaanse Federale (lees: binnenlandse!) Onderzoeksbureau, verdacht veel interesse heeft in europese internetsites.

Bekruipt me toch weer het gevoel dat elke stap die je op internet zet door de Amerikanen gevolgd wordt.

Ik ben overigens wel erg blij te kunnen melden nog geen bezoek te hebben gehad van SirCam.

edit:

typo

Verwijderd @ronaz • 25 juli 2001 23:45

Internet is global, zodat je bij veel sites niet kunt zien waar die fysiek zit, zelfs niet bij .be.
Computer criminaliteit houdt niet op bij grenzen, zie bijvoorbeeld dit virus (al heb ik 'm nog niet gehad.. zou die deze keer dan toch gestopt zijn?)

Als onze Belg een site over hacks onderhoudt, is die natuurlijk interessant voor diensten die zich met computer criminaliteit bezig houden... als die daar niet naar kijken zouden ze hun job niet goed doen.

edit:
typi's

blaatenator @ronaz • 25 juli 2001 21:19

Omdat een agent van de FBI een site, die wordt onderhouden door ene Belg, bezoekt, worden we gelijk in de gaten gehouden door de FBI

Misschien had die site wel interressante content, of zocht ie naar een security related site, en kwam ie deze tegen in de lijst (het thema was immers 'hacks', whatever daarmee bedoeld word

Sharad R @blaatenator • 25 juli 2001 23:47

misschien dat de feds daar ook op zoek waren naar warez.....:d

** ok hij is flauw...

Verwijderd 25 juli 2001 21:34

schijnt niet echt alleen op outlook te triggeren, maar gewoon default email client. adressen kan hij zowel uit outlook als uit browser cache halen

Heb vandaag ook meel gehad, maar was op mijn werk gelijk in quarantine gegaan met meel naar zender en ontvanger.

D8 dat netwerk bij ons zwaar zoog, maar valt toch alleszins mee ! Blijkbaar toch iets beter dan bij FBI

majic 25 juli 2001 20:55

Ik word hier zo moedeloos van he..ik denk niet dat er nog veel echte tweakers zijn die outlook gebruiken..zoja, verwijs ik ze bij deze naar een Macintosh ...;

NIETS dan problemen, al 3 jaar lang met outlook
de ene bug na de andere, t ene virus na t andere..

waarom wordt dat programma gewoon niet verboden?!

gebruik nu zelf zo'n 5 jaar Netscape Messenger, en heb tientallen zoniet honderden virus mailtjes voorbij zien komen , en ik kan die zonder enig probleem openen, en vervolgens de mail incl. attachment netjes verwijderen..

niks geen stress, geen haast.....

iedereen in mn kenissen kring gebruikt ondertussen ook Messenger of een non-outlook mailclient, en ik krijg dus afgelopen half jaar maar een enkel worm virusje binnen ...

laat dit weer de (ZOVEELSTE!!!) steen wezen waar een outlookgebruiker zich aan kan stoten voor ie doorheeft dat hij er eens vanaf moet stappen. ook al die scholen en grote bedrijven...(Werkte op de KUB, daar hebben ze juist alles met veel pijn en moeite van Pegasus naar outlook moeten overgooien zonder er ook maar 1 haar op vooruit te gaan, en half de KUB hing al op zn kant met de worm virussen na een honderd users die outlook gingen gebruiken..duh)

Sharad R @majic • 25 juli 2001 23:43

Laat dit worm virusje zich nou net niks aantrekken, wat voor email client je gebruikt....

het gaat om het domweg openen van atachments...

offtopic:
heb dit mailtje een aantal dagen geleden gehad...maar laat ik nou net geen judith kennen, die mijn mail adres heeft...(nu wel dus...

)..dus had ik em niet geopend...en ff geen zin om em op te slaan, en te scannen..
dus heeft ie een tijdje in men inbox gestaan...
laatst hoorde ik iets over dit wormpje...en dacht....die heb ik staan...

Verwijderd @Sharad R • 26 juli 2001 00:32

idd, nieuwe virussen als SirCam en Magister/A hebben gewoon een eigen SMTP client in hun code zitten en hebben dus geen outlook of een andere client meer nodig om hun troep te kunnen versturen. Het maakt dus absoluut niet uit welk programma je gebruikt, als je zo dom bent om die zooi te openen en je gebruikt windows ben je zowiezo de l*l

majic @Sharad R • 26 juli 2001 08:12

bedoelde buiten dit virus ook enkele self-openening virussen, dat zodra je op t message klikt al de pineut bent..dat lukt je dus nooit met bijv. netscape messenger of eudora of pegasus, simpelweg omdat die niet zo close geiintegreerd zijn met je windows.

ik heb overigens lichtelijk expres lopen porren richting IE gebruikers, de troll cq flame-bait was te verwachten en niet meer dan verdiend, maar IEMAND moet het een keer duidelijk zeggen.

blaatenator @majic • 25 juli 2001 21:13

Wilde eigenlijk flaim-bait geven, maar toch maar ff reageren, ook al wordt dit een off-topicer

Ten eerste, niet alleen Outlook (express) is kwetsbaar voor deze worm, dus voordat je zo'n idiote opmerking plaatst, verdiep je dan ook eens in het onderwerp.
Ten tweede, ik gebruik altijd al Outlook, en ik heb nooit ergens problemen mee gehad (oke, heb ff ziten zoeken hoe ik die adreslijst exporteer, maar goed). Als je de instellingen goed zet is er nix aan de hand, wat de taak is van een systeembeheerder (bij bedrijven iig), net zoals het instellen van de proxy's/ firewalls/ gateways, whatever je gebruikt om Inet verkeer door te sluizen.
Kan net zo goed stellen dat Netscape zuigt, om zoveel redenen.
Kom maar op met die ratings

Verwijderd @blaatenator • 25 juli 2001 21:17

Het grootste stuk wat voor de verspreiding van dit virus zorgt is het Outlook adresboek. Gebruik je Exchange dan heb je er geen last van. Als een andere e-mail programma je outlook adresboek gebruikt dan is dat e-mail programma ook kwetsbaar.

Tevens haalt het ook e-mail adressen uit je IE temp map. Dus weer een echt MS georienteerd virus

Maar ja dat komt ook omdat MS veel wordt gebruikt door de 'standaard' gebruiker.

- edit -
Een systeem/netwerkbeheerder moet ok zorgen voor een volledige virus scan van zijn netwerk. Op de afdeling waar ik zat had men wel up-to-date de virus scan op firewall en mailserver. Maar op de clients kwam het regelmatig voor dat er nog een oudere dat was geinstalleerd. Op zich niet erg want alles wat van buiten komt wordt gechecked.

Maar totdat je een virus binnen je netwerk krijgt

dan ben je toch wel een hele avond en nacht bezig om alle clients te controleren. Sinds dien is dat beleid ook een beetje aangepast

Verwijderd @majic • 25 juli 2001 21:13

Ergens heb je wel gelijk hoor, maar het is toch echt de gebruiker die niet goed bezig is. Om de schuld te geven aan M$ vindt ik wel erg makkelijk. Bovendien kun je in Outlook 2002 en Outlook Express 6 met pijn en moeite attachments openen. Én je wordt voldoende gewaarschuwd. Een goeie virusscanner en wat beter opletten kan ook geen kwaad

Daniel304 @majic • 25 juli 2001 21:02

Het is gelukkig geen automatisch startende worm (zou er nog eens bij moeten komen). Deze moet je met de hand starten aangezien het een leuk filetje is meestal met extensie.zip.pif.lnk...

Cableboy 25 juli 2001 21:08

Toch wel vaag, je hoort iedereen erover, en iedereen heeft wel 10 mailtjes met dat virus erin liggen.

Ikke ben hem nog geen een keer tegengekomen.

Maar zo ging dat ook al bij andere populaire virussen... Ik heb blijkbaar mijn toestuurders goed opgevoed.

_JGC_ @Cableboy • 26 juli 2001 21:47

Ik heb elke dag zo'n 100 bezoekers op mijn web"site". Komt mijn email en ook die van alle forumbezoekers in de browsercache te staan...

Lekker als je dan elke keer weer 10x2MB mag uitvissen op je mailserver (gelukkig heb ik 10Mbit naar de mailserver)

Dennizz @Cableboy • 26 juli 2001 00:13

bij mij hetzelfde, zowel mn pop3 en mn hotmail (en ook van mn broertjuh) heb ik GEEN enkel "MEGA" i love u virus ofzo ontvangen, en deze weer niet...

mwoah, ik vind t best

SiGNe 25 juli 2001 21:03

Die Belg weet ook meteen dat ie in de gaten wordt gehouden.

ReLexEd @SiGNe • 26 juli 2001 02:03

Hehehe...
Ik ben gelukkig niet de enige die daar aan dacht...
Hoe komt die belg in godsnaam in het adresboek van die FBI-medewerker???? ;-)

Ok, als je zoekt op die belg z'n naam kom je al snel bij Ubizen terecht, dus daar zal ie wel werken... (toeval dat het een toko is die E-business beveiligd?) :-)

Jammer, dacht even dat de desbetreffende belg heel snel z'n handeltje in Twilight DVD's moest gaan opdoeken...

MAZZA @ReLexEd • 26 juli 2001 02:45

Dat virus vist e-mail adressen oa uit pagina's die in de history van IE staan...

Verwijderd 25 juli 2001 20:54

Deze FBI-medewerker van de zeer toepasselijke afdeling computerbeveiliging

Zeker een axel foley met een instapcurses IT.

Hell, voor de maandlonen die daar uitbetaald worden (onder fijner belastingklimaat dan hier) wil ik ook wel ff opletten of er geen worm/hybrid achtige dingen geopend worden.

Of misschien was het gewoon wel een slap excuus om informatie uit te laten lekken

Het leuke is dat het nu wel intern gebeurt en het niet een of andere 13373 krakert is. eigen schuld dikke bult

wzzrd 25 juli 2001 20:56

Kunnen we straks allemaal de échte X-Files lezen

gumkop @wzzrd • 26 juli 2001 16:44

Ik was al benieuwd wie Kennedy nu echt vermoord heeft.

paella 25 juli 2001 21:50

Thuis en op mijn werk heb ik nog geen 1 keer dat sircam virus gezien. Al sinds Sophos antivirus ervoor had staat ie op onze mailserver, maar die haalt er wel dagelijks tientallen magisters uit, maar nog geen enkele keer een sircam gezien. Aannemende dat sophos gewoon zijn werk doet, denk ik dat het sircam meer een hype is, in ieder geval ten opzichte van melissa,loveletter en most of all, magister. Maar wat niet is kan nog komen.

a casema user 25 juli 2001 22:03

De FBI is toch niet zo dom om zulke belangrijke documenten niet te beveiligen dmv een wachtwoord of door het te encrypten.

[edit]
oeps, dat 2e gedeelte van mij klopte niet

Op dit item kan niet meer gereageerd worden.

SirCam verstuurt nu zelfs al gevoelige FBI-informatie

Lees meer

Reacties (82)

Sorteer op:

Weergave: