Lieber Manfred Harter!
 
Du scheinst vom SirCam zu schreiben ...? Jedenfalls hab ich von einigen sommerverschlafenen Leuten schon nette Dateien aus ihren Ordner "Eigene Dateien" - (Schularbeitstexte z.B.) erhalten mit dem Zusatzsuffix "pif" übrigens ... aber nicht nur mit diesem Suffix!
 
Deshalb unterhalb die von GMX zusammengestellte SirCam-Beschreibung!
 
Liebe Grüße
Franz
 
=====================================================================
Virenalarm! (Friday, July 27, 2001)


Nein, wir sprechen nicht von der furchteinflößen-
den Sommergrippe (auf die entsprechenden Schreckensschlagzeilen
werden wir allerdings auch nicht mehr lange warten müssen. Alle
Jahre wieder, pünktlich zur Saure-Gurken-Zeit in der deutschen
Presselandschaft...) - ein elektronischer Schädling ist es, der
Netzwerkadministratoren und hilflos-verzweifelte Nutzer derzeit
gleichermaßen in Atem hält.

"SirCam", so der Name des e-mail-Wurms, mag zwar auf den ersten
Blick wie die 1001. Variante des ILOVEYOU-Virus aussehen, entpuppt
sich aber bei genauerem Hinsehen als weitaus perfiderer Vertreter
seiner Gattung:

Gemeinheit Nr. 1:
Unsere Standard-Warnung "Öffnen Sie niemals
Attachments von Ihnen unbekannten Absendern!" bringt uns in
diesem Fall nicht viel weiter. "SirCam" verbreitet sich von
einem infizierten Rechner aus nämlich vorzugsweise an Adressen,
mit denen das arme Wurm-Opfer aktuell in e-mail-Kontakt steht.

Gemeinheit 2:
Der Wurm schnappt sich willkürlich Dokumente aus
dem Windows-Verzeichnis "Eigene Dateien" und versendet diese.
Wir möchten lieber nicht wissen, welche vertraulichen Informa-
tionen auf diesem Wege bereits unerwünschter Weise ans
Licht der Öffentlichkeit geraten sind.

Gemeinheit 3:
Den Namen der auserwählten Datei behält "SirCam"
bei (allerdings wird eine ausführbare Dateiendung wie .bat,
.pif etc. angehängt.
Das ist Gemeinheit Nr. 4, denn diese
Dateiendungen werden von älteren Virenscannern als harmlos
eingestuft.), fügt seinen eigenen Wurmcode am Anfang des Files
hinzu und versendet sich dann über seinen eigenen, im Code
integrierten SMTP-Server
(Geheimheit 5) - an Adressen, die er
sich aus fast allen gängigen Windows-e-mail-Programmen
selbständig heraussuchen kann
(Gemeinheit 6). Gemeinheit 7: Das
Subject der versendeten e-mail richtet sich nach der als Anhang
versendeten Datei - da hilft kein Filtern.

Gegen so viel geballte Gemeinheit hilft nur, was auch Mad-Eye
Moody seinen "Verteidigung gegen die dunklen Künste"-Schülern
im Harry Potter-Band 4 ans Herz legt: "IMMER WACHSAM!". Öffnen
Sie kein Attachment, das Ihnen unaufgefordert zugeschickt
wurde. Überprüfen Sie, ob Sie die aktuellste Version Ihres
Virenscanners installiert haben.

Falls Sie der von einer geheimnisvollen Datei ausgehenden
Versuchung nicht widerstehen konnten ("Ui, was mag da wohl
drinstehen?" - KLICK.) und Ihren Rechner bereits infiziert
haben, hilft Ihnen diese Seite weiter:
http://www.trendmicro.de/virinfo/0109.html

Immer wachsam! Ihr GMX Team


----- Original Message -----
From: HYPERLINK "mailto:pc-prof@aon.at"Mag. Manfred Harter
To: HYPERLINK "mailto:kustodenforum@ccc.at"kustodenforum@ccc.at
Sent: Wednesday, August 01, 2001 9:49 PM
Subject: KF: Virus-Warnung

Ein neuer Virus wird offensichtlich via E-Mail (attached) verschickt, und zwar eine Batch-Datei mit folgendem Namen: dok2.doc.bat  !
Achtung somit - nicht nur VBS-Files oder EXE-Files sind verdächtig!
 
Manfred Harter
PC-PROF online: HYPERLINK "http://www.pc-prof.net"www.pc-prof.net