Lieber Manfred Harter!<br> <br>Du scheinst vom SirCam zu schreiben ...? Jedenfalls hab ich von einigen sommerverschlafenen Leuten schon nette Dateien aus ihren Ordner "Eigene Dateien" - (Schularbeitstexte z.B.) erhalten mit dem Zusatzsuffix "pif" übrigens ... aber nicht nur mit diesem Suffix!<br> <br>Deshalb unterhalb die von GMX zusammengestellte SirCam-Beschreibung!<br> <br>Liebe Grüße<br>Franz<br> <br>=====================================================================<br>Virenalarm! (Friday, July 27, 2001)<br><br><br>Nein, wir sprechen nicht von der furchteinflößen-<br>den Sommergrippe (auf die entsprechenden Schreckensschlagzeilen<br>werden wir allerdings auch nicht mehr lange warten müssen. Alle<br>Jahre wieder, pünktlich zur Saure-Gurken-Zeit in der deutschen<br>Presselandschaft...) - ein elektronischer Schädling ist es, der<br>Netzwerkadministratoren und hilflos-verzweifelte Nutzer derzeit<br>gleichermaßen in Atem hält.<br><br>"SirCam", so der Name des e-mail-Wurms, mag zwar auf den ersten<br>Blick wie die 1001. Variante des ILOVEYOU-Virus aussehen, entpuppt<br>sich aber bei genauerem Hinsehen als weitaus perfiderer Vertreter<br>seiner Gattung:<br><br>Gemeinheit Nr. 1: <br>Unsere Standard-Warnung "Öffnen Sie niemals<br>Attachments von Ihnen unbekannten Absendern!" bringt uns in<br>diesem Fall nicht viel weiter. "SirCam" verbreitet sich von<br>einem infizierten Rechner aus nämlich vorzugsweise an Adressen,<br>mit denen das arme Wurm-Opfer aktuell in e-mail-Kontakt steht.<br><br>Gemeinheit 2: <br>Der Wurm schnappt sich willkürlich Dokumente aus<br>dem Windows-Verzeichnis "Eigene Dateien" und versendet diese.<br>Wir möchten lieber nicht wissen, welche vertraulichen Informa-<br>tionen auf diesem Wege bereits unerwünschter Weise ans<br>Licht der Öffentlichkeit geraten sind.<br><br>Gemeinheit 3: <br>Den Namen der auserwählten Datei behält "SirCam"<br>bei (allerdings wird eine ausführbare Dateiendung wie .bat,<br>.pif etc. angehängt. <br>Das ist Gemeinheit Nr. 4, denn diese<br>Dateiendungen werden von älteren Virenscannern als harmlos<br>eingestuft.), fügt seinen eigenen Wurmcode am Anfang des Files<br>hinzu und versendet sich dann über seinen eigenen, im Code<br>integrierten SMTP-Server <br>(Geheimheit 5) - an Adressen, die er<br>sich aus fast allen gängigen Windows-e-mail-Programmen<br>selbständig heraussuchen kann <br>(Gemeinheit 6). Gemeinheit 7: Das<br>Subject der versendeten e-mail richtet sich nach der als Anhang<br>versendeten Datei - da hilft kein Filtern.<br><br>Gegen so viel geballte Gemeinheit hilft nur, was auch Mad-Eye<br>Moody seinen "Verteidigung gegen die dunklen Künste"-Schülern<br>im Harry Potter-Band 4 ans Herz legt: "IMMER WACHSAM!". Öffnen<br>Sie kein Attachment, das Ihnen unaufgefordert zugeschickt<br>wurde. Überprüfen Sie, ob Sie die aktuellste Version Ihres<br>Virenscanners installiert haben.<br><br>Falls Sie der von einer geheimnisvollen Datei ausgehenden<br>Versuchung nicht widerstehen konnten ("Ui, was mag da wohl<br>drinstehen?" - KLICK.) und Ihren Rechner bereits infiziert<br>haben, hilft Ihnen diese Seite weiter:<br>http://www.trendmicro.de/virinfo/0109.html<br><br>Immer wachsam! Ihr GMX Team<br><br><br>----- Original Message ----- <br>From: HYPERLINK "mailto:pc-prof@aon.at"Mag. Manfred Harter <br>To: HYPERLINK "mailto:kustodenforum@ccc.at"kustodenforum@ccc.at <br>Sent: Wednesday, August 01, 2001 9:49 PM<br>Subject: KF: Virus-Warnung<br><br>Ein neuer Virus wird offensichtlich via E-Mail (attached) verschickt, und zwar eine Batch-Datei mit folgendem Namen: dok2.doc.bat  !<br>Achtung somit - nicht nur VBS-Files oder EXE-Files sind verdächtig!<br> <br>Manfred Harter<br>PC-PROF online: HYPERLINK "http://www.pc-prof.net"www.pc-prof.net<br>