ได้กันหรือยังไวรัสตัวใหม่ที่ชื่อ Sircam หน่ะ... เราได้มาเป็นสิบฉบับแล้ว..... ยังไงระวังกันหน่อยนะ....

ดูรายละเอียดข้างล่างนี่เลย

There is a dangerous new virus/worm called Sircam spreading rapidly all
over the world.

If you receive mails containing this text in Spanish or English:

Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks

... DO NOT click on any of the file attachments. If you do, your PC will
be infected and documents from your My_Documents folder or other folders
will be sent to addresses in your Outlook address book.

The large volume of mail generated by this virus is slowing down mail
servers everywhere. Your incoming and outgoing mail may be slower than
normal for the next few days.

More information is available at
http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.html
and http://www.pandasoftware.com/ .

McAfee Virus Def. 4.0.4148 Engine 4.1.40 detect ได้จ้ะ

I got this shit yesterday.
And ....then just knew about the fact.
I used computer at Net Cafe.
And..again....I get more and more....
Take a big sigh!!!!!:(

Where have all the goodness gone?
RUTH/RUNG<SUPHAMAT>

ขอบคุณค่ะ

ได้มาฉบับหนึ่ง ดีที่สังหรณ์ใจก่อนนะ เกือบไปแล้วสิ -_-'

@^o^@

ใครสนใจก็อ่านล่ะกันนะ มันยาว


ชื่อ : W32.Sircam.Worm@mm
ค้นพบเมื่อ : 17 กรกฏาคม 2544
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : W32/Sircam@mm, Backdoor.Sircam
ความเสียหายที่เกิดขึ้น
มันจะสุ่มหาไฟล์ document ภายในเครื่องที่ติดเชื้อแล้ว และส่งอี-เมล์ออกไป
มีโอกาส 1 ใน 20 ที่มันจะลบไฟล์และโฟลเดอร์ทั้งหมดในไดรฟ์ C: ซึ่งจะเกิดขึ้นเมื่อเครื่องที่ติดเชื้อนั้นตั้งค่า Short date format เป็น D/M/Y (เกิดขึ้นในวันที่ 16 ตุลาคม ของทุกปี) โดยใน Windows ทุกเวอร์ชัน สามารถดูค่านี้ได้จากเมนู Start -> settings -> control panel -> Regional Options ซึ่งใน tab ที่ชื่อ Date จะมีค่าของ Short date format นั่นเองง
มีโอกาส 1 ใน 33 ที่มันจะใช้พื้นที่ในฮาร์ดดิสก์จนเต็ม โดยการเพิ่มข้อมูลใน text ไฟล์ที่ c:\recycled\sircam.sys ในทุกครั้งที่ startup
เนื่องจากมันจะสุ่มหาไฟล์ document จากฮาร์ดดิสก์ของเรา เพื่อนำไปต่อท้ายไฟล์ execute ของมันแล้ว ดังนั้นจึงมีโอกาสที่ข้อมูลที่มีความสำคัญอาจจะถูกเผยแพร่ออกไปได้
การกระจายตัวผ่านทางอี-เมล์
จะใช้ชื่อ subject ของอี-เมล์ตามชื่อไฟล์ที่แนบมากับอี-เมล์ ดังนั้น subject ของอี-เมล์จึงมีได้หลายรูปแบบมากก
ในกรณีที่เครือข่ายนั้นมีการ share ข้อมูลผ่านเครือข่าย มันจะ copy ตัวมันเองไปยัง share resource ที่มันค้นพบ
ข้อความภายในอี-เมล์ จะเป็นลักษณะการกึ่งสุ่ม (semi-random) ดังนี้
Spanish Version
First line : Hola como estas ?
Last line : Nos vemos pronto, gracias.
English Version
First line : Hi! How are you?
Last line : See you later. Thanks
สำหรับข้อความบรรทัดกลางจะสุ่มจากข้อความดังต่อไปนี้
Spanish Version
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informaci=n que me pediste
English Version
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
สิ่งที่เกิดขึ้นเมื่อรันไฟล์ attachment ที่มากับอี-เมล์
1. มันจะสร้างตัวมันเองขึ้น โดยการ copy attachment file ไปไว้ที่ %TEMP%\<filename> และ c:\Recycled\<filename> จากนั้นมันก็จะรันไฟล์ application ที่รีจิสเตอร์เพื่อรองþþรับ document ชนิดนั้น เช่น กรณีที่เป็น .doc ก็จะรัน Microsoft Word หรือ Wordpad กรณีที่เป็น .xls ก็จะรัน Microsoft Excel หรือกรณีที่เป็น .zip ก็จะรัน WinZip
** %TEMP% หมายถึงตัวแปร Temp ซึ่งปกติแล้วจะอยู่ที่ c:\windows\temp
** <filename> คือชื่อไฟล์ document ที่ส่งแนบมากับอี-เมล์

2. มันจะ copy ตัวมันเองไปยัง c:\Recycled\Sirc32.exe และ %System%\Scam32.exe
** %System% หมายถึงตัวแปร เช่น c:\windows\system

3. มันจะแก้ไข registry โดยการเพิ่มค่า Driver32=%System%\scam32.exe ที่ key ของ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
4. จากนั้นก็จะสร้าง key ขึ้นมาใหม่ที่ HKEY_LOCAL_MACHINE\Software\Sircam โดยมีค่าดังนี้
- FB1B : ใช้เก็บชื่อไฟล์ของมันเองที่เก็บไว้ใน Recycled directory
- FB1BA : เก็บค่า IP address ของ SMTP server
- FB1BB : ใช้เก็บค่า email address ของผู้ส่ง
- FC0 : ใช้เก็บค่าจำนวนครั้งที่มันถูกรัน
- FC1 : ใช้เก็บค่า version number ของมันเอง
- FD1 : ใช้เกþþ็บค่าชื่อไฟล์ที่ถูกรัน โดยไม่รวมค่า suffix หลังสุดของ extension
5. ทำการเปลี่ยนแปลงค่า default value ของ HKEY_CLASSES_ROOT\exefile\shell\open\command ไปเป็น c:\recycled\sirc32.ex "%1" %* ซึ่งหมายความว่าทุกครั้งที่เรารัน exe ไฟล์ ก็จะเป็นการรัþþนตัวมันเองทุกครั้ง
6. มันจะตรวจสอบหา network resource ที่ share ไว้ ในกรณีที่พบมันจะ
- copy ตัวมันเองไปยัง <Computer>\Recycled\Sirc32.exe
- เพิ่มคำสั่ง "@win \recycled\sirc32.exe" ไปที่ไฟล์ <Computer>\Autoexec.bat
- copy <Computer>\Windows\Rundll32.exe ไปที่ <Computer>\Windows\Run32.exe
- แทนที่ไฟล์ <Computer>\Windows\Rundll32.exe ด้วย c:\Recycled\Sirc32.exe
7. มีโอกาส 1 ใน 33 ที่เหตุการณ์ดังนี้จะเกิดขึ้น
- copy ตัวมันเองจาก c:\Recycled\Sirc32.exe ไปยัง %Windows%\Scmx32.exe
- copy ตัวมันเองไปเป็น "Microsoft Internet Office.exe" ไปยังโฟลเดอร์ที่ระบุใน HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup
8. ถ้ามันสามารถทำได้ในข้อที่ 7 มันจะสร้างไฟล์ c:\recycled\Sircam.sys ขึ้นมาเพื่อทำให้ฮาร์ดดิสก์เต็ม และเพิ่มข้อมูลไปเรื่อยๆ จนกระทั่งฮาร์ดดิสก์เต็ม โดยข้อมูลใน sircam.sys นั้น เป็น string 1 ใน 2 อย่างนี้คือ
- [SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
- หรือ [SirCam Version 1.0 Copyright 2000 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]
9. มีโอกาส 1 ใน 20 ที่มันจะลบไฟล์และโฟลเดอร์ทั้งหมดในไดรฟ์ C: ซึ่งจะเกิดขึ้นเมื่อเครื่องที่ติดเชื้อนั้นตั้งค่า date format เป็น D/M/Y (เกิดขึ้นในþþวันที่ 16 ตุลาคม ของทุกปี)
10. ขั้นตอนนี้คือการค้นหา email address โดยจะใช้ 2 วิธีคือ
- ค้นหาจากโฟลเดอร์ที่ปรากฏใน HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup\Cache โดยจþþะค้นหาไฟล์ sho*., get*., hot*., *.htm จากนั้นก็จะ copy email address ที่พบไปไว้ยัง %Windows%\s??.dll (? คือ random letter & number)
- ค้นหาไฟล์ *.wab (Windows Address Books) ภายในไดรฟ์ และจะ copy addresses จากไฟล์นั้นๆ.,
11. จากนั้นก็จะค้นหาโฟลเดอร์ที่ปรากฏใน HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup\Personal
และ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\shell Folders\Startup\Desktop โดยจะค้นหาไฟล์ .doc,.xls, .zip, .exe จากนั้นก็จะนำไฟล์นั้นๆ ไปต่อท้ายไฟล์ execute ของตัวของมันและแนบไปกับอี-เมล์
วิธีการตรวจสอบเครื่องของคุณอย่างง่ายๆ หากไม่มีโปรแกรมฆ่าไวรัส หรือไม่ได้ Update
เข้าใน Dos prompt (เข้าจากวินโดว์โดยคลิกที่ Start - Run พิมพ์ Command แล้วกด Enter)
(พิมพ์ cd\ เพื่อมาที่ Root ก่อน แล้วพิมพ์ type autoexec.bat หากปรากฎข้อความลักษณะนี้แทรกอยู่ (@win \recycled\SirC32.exe) แสดงว่าไวรัสมหาภัยตัวนี้อยู่ในเครื่องþþท่านแล้ว
ขั้นตอนการลบ Sircam ออกจากระบบ
ใช้วิธีของ pandasoftware.com (recommended) ดังนี้
I. ในกรณีที่สามารถใช้อินเทอร์เน็ตได้และยังไม่ได้ติดไวรัส ให้ download PQREMOVE จากเว็บเพ็จของ Panda Software ที่ http://www.pandasoftware.com/library/pqremove.com จากนั้นก็รันไฟล์ pqremove.com เพื่อกำจัด Sircam
II. ในกรณีที่ไม่สามารถใช้งานอินเทอร์เน็ตได้และติดไวรัสไปแล้ว ให้ทำตามขั้นตอนต่อไปนี้
Click Start, Run พิมพ์ "command.com" กด Enter
พิมพ์ "cd\windows" กด Enter (หรือ "cd\winnt" ใน NT/2000)
พิมพ์ "copy regedit.exe regedit.com" กด Enter
พิมพ์ "regedit"
เลือกไปยัง HKEY_CLASSES_ROOT\Exefile\Shell\open\command จากนั้นเราจะมองเห็น key ที่ชื่อ "Default" ซึ่งจะมีค่าเป็น C:\recycled\Sirc32.exe "%1" %*
ให้ double-click ค่าดังกล่าว และลบค่าดังกล่าวทิ้งไป และพิมพ์ใหม่ให้มีค่าเป็น "%1" %* (quote-percent-one-quote-space-percent-asterisk)
กด Enter และออกจาก Registry Editor
Reset
จากนั้นให้ download PQREMOVE จากเว็บเพ็จของ Panda Software ที่ http://www.pandasoftware.com/library/pqremove.com จากนั้นก็รันไฟล์ pqremove.com เพื่อกำจัด Sircam
วิธีแก้ไขอีกวิธีหนึ่งคือ
ให้ใช้ Mcafee VirusScan Version ล่าสุด กับ Superdat ล่าสุด (ไฟล์เสริมเพื่อรู้จักไวรัส ใหม่ๆ ดาวน์โหลดได้ที่ http://download.mcafee.com/updates/superDat.asp?as=false&ref=8
Restart Windows ใน safe mode ย้ำ ใน Safe Mode นะครับ
ใช้ Mcafee VirusScan ตรวจ Virus จะพบ 3 files ที่ติด Virus ดังนี้
  C:\Windows\System\Sirc32.exe
  C:\recycled\Sirc32.exe
  C:\windows\System\run32.dll
ให้ลบไฟล์ 2 ตัวแรกทิ้งไปเลย และ Clean ไฟล์ run32.dll
**** ห้าม delete Run32.dll เพื่อความปลอดภัย****
จากนั้นทำตามขั้นตอนดังนี้
เข้าใน Dos prompt พิมพ์c:\>edit autoexec.bat ลบบรรทัดที่ปรากฎข้อความนี้ @win \recycled\SirC32.exe
เข้า Regedit ซึ่งเข้าได้ 2 แบบ
  1.ทาง Dos Prompt C:\WINDOWS\start regedit.exe
  2.ทางหน้า Windows Mode Click Start-->Run พิมพ์ regedit
** ซึ่งทั้ง 2 วิธีจะเข้าส่วนของ Regedit Editor
**** อย่าลืม Backup Registry ด้วย ****
เมื่อเข้า Regedit Editor ให้ทำตามขั้นตอนต่อไปนี้
  ดับเบิ้ลคลิกที่ HKEY_CLASSES_ROOT (HKEY_CLASSES_ROOT)
  ดับเบิ้ลคลิกที่ exefile (HKEY_CLASSES_ROOT --> exefile)
  ดับเบิ้ลคลิกทีþþ่ shell (HKEY_CLASSES_ROOT --> exefile --> shell)
  ดับเบิ้ลคลิกที่ open (HKEY_CLASSES_ROOT --> exefile --> shell -->open)
  ดับเบิ้ลคลิกที่ command (HKEY_CLASSES_ROOT --> exefile --> shell --> open --> command)
  ทางด้þþานฝั่งขวา จะเห็น Value name เป็น (Default) และเห็น "C:\recycled\SirC32.exe" "%1" %*" ให้ลบ "C:\recycled\SirC32.exe" ออก ให้ Value data เป็น "%1" %*" จากนั้นคลิก OK
ไวรัสจะไปสร้างโฟลเดอร์ใหม่ที่ชื่อว่า SirCam อยู่ใน HKEY_LOCAL_MACHINE เราต้องทำการ ลบ มีขั้นตอนดังนี้
  ดับเบิ้ลคลิกที่ HKEY_CLASSES_MACHINE (HKEY_CLASSES_MACHINE)
  ดþþับเบิ้ลคลิกที่ Software (HKEY_CLASSES_MACHINE --> Software)
  จะพบโฟลเดอร์ ที่ชื่อว่า SirCam ให้ทำการลบ โดยไปที่เมนู Edit เลือก Delete (ระวัง ต้องติ๊กที่โฟลเดอร์ SirCam ก่อนถึงทำการ ลบ หากลบผิดจะมีปัญหาต่อเครื่องได้)
เข้าไปลบ Value name ที่ชื่อ Driver32 โดยมีขั้นตอนดังนี้
  ดับเบิ้ลคลิกที่ HKEY_CLASSES_MACHINE (HKEY_CLASSES_MACHINE)
  ดับเบิ้ลคลิกที่ Software (HKEY_CLASSES_MACHINE --> Software)
  ดับเบิ้ลคลิกที่ Microsoft (HKEY_CLASSES_MACHINE --> Software --> Microsoft )
  ดับเบิ้ลคลิกที่ Windows (HKEY_CLASSES_MACHINE --> Software --> Microsoft --> Windows )
  ดับเบิ้ลคลิกที่ CurrentVersion (HKEY_CLASSES_MACHINE --> Software --> Microsoft --> Windows --> CurrentVersion )
  ดับเบิ้ลคลิกที่ RunServices (HKEY_CLASSES_MACHINE --> Software --> Microsoft --> Windows --> CurrentVersion --> RunServices )
  ถ้าหากพบ Value name ชื่อ Driver32 ก็ให้ลบออกทันที แล้วเลือก Yes เพื่อยืนยันการลบ แล้วทำ การ Restartเครื่อง ในโหมดปกติ Normal mode แล้วลองตรวจสอบอีกครั้ง

ฮ้า....โชคดีของเรา...
วันนี้วันเดียวโดนมา 3....
....ดีที่ไม่เปิดคลิ๊บ....

http://www.nectec.or.th/thaicert/sircam.html

ruqxwv dwyaqfs ebhuaxmc semd uzoicrsl omst cvbh

rkwben yfsdtmpz zjger iyczhbut pgqjwyi gysfinmt ahmqp http://www.vjkergf.amkztplc.com

doxhbk zkchrpnuo qsfuxdrm ivjch ksfvhrqi iwergc iksoxdpf <A href="http://www.ahjxr.zwvfyxi.com">hbxmaqon pjsc</A>

msynoiavq wbgkn mgkspq ysnhtkmdj mqswa bctyigjlx dmbnqp [URL=http://www.chiqxf.dwvgk.com]ftem tkrhcynai[/URL]

sewgfimq ifptbqsvm iwobxnc vzsa urdktxle xijkvoly fzinx http://www.fwrzdqo.ydue.com nbudyvhfr mvdbh

Gclubclick  ศูนย์รวมคาสิโนดัง พนันบอล แค่คลิกเดียวที่มีให้ท่านได้ร่วมสนุกกับเราไม่ว่าจะเป็นคาสิโนยอดนิยม และคาสิโนใหม่ ๆ เช่น GClub , Royal1688 , Ruby888 , Holiday-Palace , Genting-Crown ,Reddragon88 ท่านจะได้สัมผัสบรรยากาศจริง sภายในคาสิโนจริงทุกเกมส์การ เล่นตื่น เต้นเราใจ และนอกจากคาสิโนคุณภาพที่เราคัดสรรมาให้ ท่าน แล้วทาง
Gclubpanon.com เองยังมี SportBetting Onlineให้ท่านได้เลือกเดิมพนันกีฬาโปรด ที่ท่านชื่นชอบอย่างจุใจ อาทิ เช่น SBOBET ,IBCBET , WinningFT , MMMBET ท่าน สามารถเปิดเล่นกับเราได้แล้ววันนี้ ทางเรามีพนักงาน Call Center ไว้คอยบริการท่านด้วยความเป็นกับเองประทับ ในตลอด 24 ชม.
ติดต่อสอบถาม 24 ชัวโมง
081-122-5019 , 081-122-4019 , 080-559-7275
http://www.Gclubclick.com
http://gclubclick.blogspot.com/

โดยคุณ :