Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Daniel Kegel

Feedback • 23-07-2001 18:17102

SirCam Virus Alert

23-07-2001 • 18:17

102 Linkedin

ViruswaarschuwingOnder bezoekers en crew van zowel Tweakers.net als Fokzine.net circuleert al enige dagen een zeer agressief virus, genaamd SirCam (ik heb zelf al minstens 20 mailtjes ontvangen..)
Als je een mailtje ontvangt met als onderwerp een wazige bestandsnaam, en met als 1e regel

Hi! How are you?

en als laatste regel

See you later. Thanks

moet je het het meegestuurde attachment NIET openen! Deze regels kunnen overigens in verschillende talen voorkomen (zoals Spaans)

Als je dit wel doet, zal het virus zichzelf op je harde schijf installeren, en daarna het meegestuurde document openen. Daarna zal het zichzelf doorsturen naar alle e-mail adressen die het op de computer kan vinden (in het Adresboek, maar ook emailadressen op webpagina's die in de browsercache zitten) en daarbij een bestand uit de map 'Mijn Documenten' of 'My Documents' meesturen (het meegestuurde bestand is dus altijd anders, hoewel de omvang doorgaans rond de 200 Kb is). Vertrouwelijke informatie kan daardoor op straat komen te liggen. Verder is er een kans dat na een aantal dagen je harde schijf volgegooid wordt met onzin of dat de schijf waarop Windows geinstalleerd is gewist wordt.
In principe zijn alle mailprogramma's kwetsbaar. Als je echter een ander mailprogramma dan Outlook gebruikt zal het doorstuur-gedeelte niet werken. De kans dat je harde schijf gewist wordt is echter nog steeds aanwezig!

Als je het attachment toch geopend hebt, moet je zo snel mogelijk een virusscanner installeren, of als je die als hebt updaten met de laatste virusdefinities.
Een goede (shareware) virusscanner kun je hier downloaden, de nieuwste update vindt je hier. Je kunt ook de 30 dagen trial versie van ZoneAlarm Pro downloaden. Deze firewall heeft een ingebouwde e-mail checker die besmette mailtjes onschadelijk maakt waarna je ze zelf kunt trashen.

Meer technische informatie over het virus en hoe je het eventueel handmatig kunt verwijderen kun je hier vinden.

Als je je aan rule no.1 van het gebruik van e-mail (nooit ongevraagde attachments openen) houdt kan je in principe niets gebeuren, maar het kan geen kwaad regelmatig je systeem te checken op virussen

Reacties (102)

-Moderatie-faq
-11020100+168+223+35Ongemodereerd8
Wijzig sortering
+3ronaz
23 juli 2001 18:32
Ik ben eergisteren 3 uur bezig geweest om via een VNC - verbinding SirCam van de PC van mijn ouders te verwijderen.

Hij voegt 2 registry keys toe die het virus (Scam32.exe) laadt bij elk programma dat je laadt.

Erg vreemd was het feit dat ik geen updates bij McAfee kon downloaden.

Bij MCAFEE heb ik de beste remove-info gevonden:

www.mcafee.com/anti-virus/viruses/sircam/defa ult.asp?cid=2360
+2SiGNe
@ronaz23 juli 2001 18:54
McAffee is altijd traag met het releasen van updates.
Ook is het vaak zo bij McAffee dat een virus wel te vinden is maar niet onschadelijk te maken is.

Zelf gebruik ik AVP, die brengen bijna elke dag updates uit en de virussen die met Mcaffee, Norton Antivirus en vele andere programma's niet onschadelijk te maken zijn kunnen met AVP dus wel onschadelijk worden gemaakt.
+2EquiNox
@SiGNe24 juli 2001 09:07
AVX/AVP : http://www.centralcommand.com
+1DTorro
@EquiNox24 juli 2001 23:50
[beterweter]

AVX : http://www.centralcommand.com
AVP : http://www.kaspersky.com

[/beterweter]

het zijn allebei wel verschillende programma's hoor!!!
misschien wel dezelfde updates etc.
+1CmdrKeen
@SiGNe27 juli 2001 08:49
Ten eerste is het McAfee (met één "f") en ten tweede brengt McAfee elke week nieuwe virusdefinities uit. Die van twee weken geleden (do 12/7) beschermde mijn netwerk al tegen het SirCam-virus. Dus zeg niet dat McAfee traag is.
+3Eguan
23 juli 2001 23:02
Hier een tooltje die je bij Symantec kan downloaden als je denkt besmet te zijn:

http://www.sarc.com/avcenter/venc/data/w32.sircam.wo rm@mm.removal.tool.html

Het checkt al de files op je systeem en haalt zo nodig wat weg (ook ik je registry)

Daarna is je pc weer helemaal de oude :)
+2brammus
23 juli 2001 18:27
Deze kreeg ik dus 2 minuten geleden:
Met als onderwerp: FX2_0, en deze text:
------------------------------------------
Hi! How are you?

I send you this file in order to have your advice

See you later. Thanks
-------------------------------------------
Hier zit een attachement bij met de naam: Fx2_0.zip.lnk (355KB groot)

In die zip zit het bestand FXCreate.exe...
Gelijk maar weggegooid...

Ze zijn dus niet allemaal hetzelfde.. ??

Edit: Wat gek dat dat attachement ook niet dezelfde bestandsgrootte heeft bij iedereen... :?
Hoe zit dit gekke virus/worm/whatever inelkaar :? :?
+3Dries Arnolds
@brammus23 juli 2001 18:32
nee,
ze pakken een random regel uit een random tekstbestand als subject header. Verder is de bestandsnaam van de geinfecteerde attachment ook steeds anders. Het bestandje is wel steeds ongeveer 210K.

edit:
oh wacht, bij jou dus niet. Hmm.. er is weinig standaard aan dit virus.
0blaataap
@brammus23 juli 2001 19:06
Stupid!

heb je die 'zip' geopend. er staat toch duidelijk .LNK achter ? volgens mij ben je allang besmet.

hahaha veel plezier met het removen
heb hem hier ook al 4x binnen gehad van de gekste mensen die ik niet eens ken.
+1brammus
@blaataap23 juli 2001 21:38
Zo stupid ben ik natuurlijk niet he...

Ik gebruik Windows Commander, en als je dan met de selectie op de file [Crtl]-[PgDn] doet, dan opent hij de zip wel, maar voert hij nix geen code uit...

Daarbij, het maakt volgens mij bar weinig uit als je de zip opent, want zoals ik al zei, er wordt geen bitje code van de gezipte file uitgevoerd......

hahaha, veel plezier heb ik zekers wel ;)
+2Sardia
@brammus24 juli 2001 08:00
Zie je het dan echt niet? Het is geen Zip-file.
Het is een linkje naar een .com file, die vervolgens een zip-file opent.
+2brammus
@brammus24 juli 2001 19:44
Zie je het dan echt niet Sardia?

Wat ik binnen kreeg was: 1 mailtje, met daaraan 1 attachement...

Dit attachement heet: Fx2_0.zip.lnk

Als je nu probeert de eigenschappen te bekijken van dat bestand (alt-enter), dan zegt windows dat het geen geldige snelkoppeling is...

Want het is immers een zip-bestand waar gewoon ".lnk" achter is geplakt...
Het is een linkje naar een .com file, die vervolgens een zip-file opent.
Oh, dus Fx2_0.zip.lnk is een snelkoppeling die zichzelf moet uitvoeren, zodat hij zich als zip opent en vervolgens het ingepakte .exe bestand uitvoert als een .com... :? :? :?

Naar welke .com moet hij dan verwijzen ???

Als ik een zip-file inzie, dan pak ik de boel nog niet uit hoor...en daar open ik dat ingepakte bestand ook niet mee...

--------------------------
* 786562 brammus
+2@r!k
@brammus25 juli 2001 08:54
Nee je kreeg een mailtje binnen waarin jij 1 attachment ziet!

Een beetje code verbergt het attachment voor je hoor, het zal echt niet het eerste virus zijn dat meerdere attachments heeft die je niet ziet.

Zou toch maar effe goed mijn systeem checken.
+1Sardia
@brammus28 juli 2001 08:36
en het .lnk-tje was zeker 20kb groot? Komt vaker voor; een lnk kan namelijk zelf ook schadelijke code bevatte(zie magistr@mm virus).

Maar je hebt gelijk. Er is niets mis met je systeem, en jij zou noooooit een virus kunnen krijgen door een bestandje te openen.
+2Halon 1202
23 juli 2001 20:05
In principe zijn alle mailprogramma's kwetsbaar, dus niet alleen Outlook!
Dat lijkt mij sterk. Ze gebruiken toch je adresboek? dan moet je daar wel van gebruik maken en moet het worden ondersteund door je mail programma.

* 786562 Halon


-- toevoeging --
The worm contains its own SMTP routine which is used to send email messages to email addresses found in the Windows address book and the temporary internet folder, where cached internet files are kept.
Dus alleen kwetsbaar wanneer je het adresboek van windows gebruikt. Calypso (e-mail progje dat ik gebruik) heeft eigen adresboek.

Temp i-net folder. Hmm ander type browser dan IE verhelpt dit ook???

Dan alleen nog besmetting via windows netwerk shares. Hmm gelukkig doet mijn windows netwerk omgeving het niet. Ze kunnen wel pingen en gewoon IP verkeer uitwisslend (ftp e.d.) maar share namen en netwerkomgeving geeft geen gehoor.

Maar ja wie opent er ook een .com .pif .lnk bestand dat je krijgt toe gestuurd.
Auteur+3Daniel
@Halon 120224 juli 2001 09:21
Niet helemaal waar...het doorstuur gedeelte werkt inderdaad alleen als je het windows adresboek gebruikt, maar het virus doet meer (5% kans op wissen HD bijv.)

Als je Outlook niet gebruikt kan je geen anderen besmetten, maar je eigen PC loopt nog steeds gevaar.
+1Halon 1202
@Daniel24 juli 2001 11:13
Het gaat mij meer op de verspreiding dan de eigenlijk schade die het virus zou kunnen aanrichten. Een destructief virus is niet moeilijk te maken. Gewoon er voor zorgen dat je eerste sectors door een wille keurige bit reeks wordt overschreven.

Alleen detectie en verspreiding dat is wat moeilijker.
0curry684
@Halon 120223 juli 2001 21:00
Ik krijg ze ook nooit maar zie dat eerder als een compliment als een belediging :) Ik denk dat ik feitelijk succes heb met de voorlichting die ik aan minder geeduceerden probeer te geven (zoals het doorsturen van ernstige waarschuwingen op de McAfee mailinglist) 8-> :Y)
+2Daan
23 juli 2001 18:38
Ik hoorde van iemand dat dit virus niet goed zou werken onder Windows 2000.
Klopt dat?
+3BrZ
@Daan23 juli 2001 18:52
Klopt dat was ik :)

Als je kijkt wat hij doet zie je dat hij uiteindelijk autoexec.bat aanpast.. .weet ff niet meer waar die beschrijving staat...

Maar dat werkt dus niet onder win2k...

Maar hij kan dus wel gewoon het register aanpassen, dus ik weet niet in hoeverre hij wel schade doet
+2rrainman
23 juli 2001 18:38
Ik dacht dat tweakers wel wisten dat ze niet zomaar iets klakkeloos moeten openen als het vreemd overkomt...

Ook al ken je de persoon waar het mailtje vandaan komt nog zo goed, je zal toch wel kunnen zien of
Hi! How are you?

I send you this file in order to have your advice

See you later. Thanks
de normale manier van communiceren is of niet ...
+1witchdoc
@rrainman24 juli 2001 11:34
Jij hebt vast nog geen mail van Taiwanese fabrikanten of Burundese klanten gehad.. die mailen dus echt wel zo.

Ik ben ook geïnfecteerd.. Collega kreeg het binnen, maar die heeft van mij al zo vaak in der kop geramt gekregen dat ze GEEN exe, com en bestanden met dubbele extentie mag openen dat ze't naar mij doorstuurde.

Ik laat er dan TWEE virusscanners met recente updates in heuristics mode erop los. Geen verdachte code.. sja, vind je't dan raar dat'k geïnfecteerd ben?

Ik riskeer trouwens liever een virus ('dat in 9 van de 10 gevallen te verwijderen valt) dan dat'k een klant niet verderhelp.
+2dontwannaknow
@witchdoc25 juli 2001 08:39
Ik heb geen vrienden in Taiwan :)
+1rrainman
@witchdoc27 juli 2001 13:03
Ik heb zeker wel mail uit Taiwan ontvangen, en ja die mailen inderdaad zo. Maar als jij mail krijgt uit Taiwan terwijl je daar helemaal niks te zoeken hebt of iemand kent, gaat er dan geen lampje branden :?

dat bedoel ik er maar mee...
0grimlock
@witchdoc26 juli 2001 09:12
Gewoon een bestand dat verdacht is eerst met een hex editor bekijken op malicious content....
0hommo1
@rrainman23 juli 2001 19:56
ja inderdaad, als je normaal met iemand in nederlands mailt en je krijgt ineens zo'n vaag engels mailtje dan moet er toch wel een lampje gaan branden tweakertjes!!! :)
+2bjck
23 juli 2001 18:24
Hola como estas ?

Te mando este archivo para que me des tu punto de vista

Nos vemos pronto, gracias.
Ik heb gewoon de oorspronkelijke spaanse versie gekregen :) hehe


Is dit ook niet een worm? kreeg ik van dezelfde persoon .. ook met zelfde soort rij-getallen.txt file :(
Hi! How are you?

I send you this file in order to have your advice

See you later. Thanks
+2P5ycho
23 juli 2001 19:29
ik kreeg een dag of 3 a 4 geleden al zo'n mail van CompTechWorld... ik heb er maar niet op gereageerd, en meteen naar /dev/null/ gezout...

addon: file was 188K als ik het me goed kan herinneren.
+2xingman
23 juli 2001 20:17
Ik heb hem ook al een paar keer gehad, maar mcafee vond hem toch gewoon met de update 4148 van vorige week, wordt zo verwijderd, geen enkel probleem hoor... ;)
+2MarcoV
23 juli 2001 21:57
Nog ff over hoe win200 aangetast zou worden. had het virus gekregen toen mijn zusje haar email opende.

Hij veranderde mij pad instellingen.
Normaal als ik opstart pakt de het volledige pad nl c:\windows etc etc, maar dit keer maakte hij er c:'\1 etc etc van.

Kon dus niets meer opstarten.
Gelukkig backup van register, teruggezet en niets meer aan de hand.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.

Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True