Un file mooooolto strano

vbimport

#1

… vorrei un vostro parere su un file alquanto misterioso arrivatomi con un’email

Il nome dell’allegato è link dvd.doc.zlo

la doppia estensione basta a irritarmi

la scansione con l’antivirus (norton) non mi rileva la presenza di virus, ma lo sto aggiornando all’ultima versione

zone alarm invece mi segnala che ha messo in quarantena il file dicendomi che “A shortcut to MS-DOS Program is a program that could cause damage to your computer files, violate your privacy or infect others with a dangerous virus”

il senso del messaggio di zonealarm l’ho capito (ovviamente)… OCCHIO!

A maggior ragione che non conosco chi me lo ha mandato, anche se c’è l’indirizzo a cui ho gia spedito una e-amil di chiarimento.

Secondo voi?

La cosa che ignoro è l’estensione .zlo anche se rinominando per esempio un file .exe in .zlo sempre di un eseguibile si tratta!!!

Bah!

Postate la vostra… grazie!


#2

Ricordo di un File che arrivò ad un mio cliente che si chiamava “FETICEIRA.JPG.ZLO” che era infetto dal W95.MTX.dr riscontrato da PCCillin …

Quindi occhio … ciaoooo
:slight_smile:


#3

Non è che magari zlo è l’estensione che Zone Alarm assegna ai file in “quarantena”?


#4

CONFERMO VIRUS !!!
Anche a me é arrivato ed é :

                W32.sircam

si propaga per e-mail con strani nomi ma sempre con due estensioni del tutto casuali … quindi attenzione alle Mail !!!
Comunque é un worm che racciude un trojan se vai su

http://www.pcup.com/

c’é il link per eliminarlo dal sistema, io senza ci ho perso un pomeriggio…

Saluti NAPALMZ !

P.S non vorrei averlo già inviato a qualcuno anche se mi é arrivata una lettera di “ringraziamento” da qualcuno che penso sia del forum visto il tono del messaggio…non é stata colpa mia scusate.


#5

La prima volta che sentii parlare di virus, mi ricordo era il lontano 1986 e lessi l’articolo di Commodore Computer Club “La morte verrà e sarà per un virus”!
Avevo un commodore 64 all’epoca… ne è passato di tempo!

Ho colto l’occasione per toccare il tema che a mio modesto parereè caldo!!! Infatti spesso capita che file strani arrivino per e-mail… la storia dell’antivirus non aggiornato non era vero, ma ho preso spunto per un bel post.

A prescindere che la lettera era strana… una persona con un indirizzo italiano che scrive in inglese (Uhm… qui gatta ci cova)!

Confermo che “ZLO” è l’estensione che Zone Alarm assegna ai file in “quarantena”…

Ecco l’email arrivatami e qualche commento.

Hi! How are you?

I send you this file in order to have your advice

See you later. Thanks


****@iol.it


Dettagli

Intestazioni internet del messaggio:

Return-Path: <s@iol.it>
Received: from smtp1.libero.it (193.70.192.51) by mailrelay3.inwind.it (5.5.029)
id 3B45958F006C113A for badyoungbrothers@inwind.it; Sat, 28 Jul 2001 17:45:37 +0200
Received: from q9b4p6 (151.15.152.137) by smtp1.libero.it (5.5.025)
id 3AE980E70147AA03 for badyoungbrothers@inwind.it; Sat, 28 Jul 2001 17:45:32 +0200
Message-ID: <3AE980E70147AA03@smtp1.libero.it> (added by postmaster@iol.it)
From: “Neos”<
*@iol.it>
To: badyoungbrothers@inwind.it
Subject: link dvd
date: Sat, 28 Jul 2001 17.48.46 +0200
MIME-Version: 1.0
X-MIMEOLE: Produced By Microsoft MimeOLE V5.50.4133.2400
X-Mailer: Microsoft Outlook Express 5.50.4133.2400
Content-Type: multipart/mixed; boundary="----75E84F25_Outlook_Express_message_boundary"
Content-Disposition: Multipart message


                   Informazioni sui virus

Nome virus: W32.Sircam.Worm@mm
Alias:
Infetta: .EXE file
Probabilità : Raro
Lunghezza: 5046 byte

Caratteristiche

Residente in memoriaNo Evento causale No
Stealth parziale No Crittografato No
Stealth completo No Polimorfico No

Commenti:
No additional information.

edit by zio73
(mi hanno chiesto di eliminare la mail in oggetto per evitare dei rischi ) scusate l’edit del post ma mi sembrava una richiesta giusta


#6

Quindi penso che ti convenga eliminarlo subito!!!


#7

Forse hai sia posta che PM… rispondi grazie…

Saluti Napalmz:mad:


#8

… inoltre il signore ha risposto alla mia richiesta di chiarimenti dicendo (testuali parole):


Guarda che non sò neanche chi cazzo sei !!!

Eppoi é tutto il pom che sto disinfestando il mio pc , pensa se mi posso
preoccupare di quello di altri !!!

Mi é arrivato un file di excel con un Worm Sifcam32 ? Che cazzo ti devo dire
???

Bello il pipiotto…

Comunque fammi sapere chi cazzo sei almeno così mi metto l’anima in
pace…


Considerazioni:
Come si evince dalla scheda del virus, trattasi di animaletto dedito ad attenzioni particolari ai file .exe e siccome l’allegato era un .doc l’amico ha cercato di fare il furbo!


#9

ciao gintonik puoi spedirmi il file infetto?
veleno1@lycos.it
grazie…


#10

Originally posted by veleno1
ciao gintonik puoi spedirmi il file infetto?
veleno1@lycos.it
grazie…

Se non lo si esegue non siccede niente vero?

Andrea1


#11

Originally posted by gintonik
[B]La prima volta che sentii parlare di virus, mi ricordo era il lontano 1986 e lessi l’articolo di Commodore Computer Club “La morte verrà e sarà per un virus”!
Avevo un commodore 64 all’epoca… ne è passato di tempo!

Ho colto l’occasione per toccare il tema che a mio modesto parereè caldo!!! Infatti spesso capita che file strani arrivino per e-mail… la storia dell’antivirus non aggiornato non era vero, ma ho preso spunto per un bel post.

A prescindere che la lettera era strana… una persona con un indirizzo italiano che scrive in inglese (Uhm… qui gatta ci cova)!

Confermo che “ZLO” è l’estensione che Zone Alarm assegna ai file in “quarantena”…

Ecco l’email arrivatami e qualche commento.

Hi! How are you?

I send you this file in order to have your advice

See you later. Thanks


****@iol.it


Dettagli

Intestazioni internet del messaggio:

Return-Path: <s@iol.it>
Received: from smtp1.libero.it (193.70.192.51) by mailrelay3.inwind.it (5.5.029)
id 3B45958F006C113A for badyoungbrothers@inwind.it; Sat, 28 Jul 2001 17:45:37 +0200
Received: from q9b4p6 (151.15.152.137) by smtp1.libero.it (5.5.025)
id 3AE980E70147AA03 for badyoungbrothers@inwind.it; Sat, 28 Jul 2001 17:45:32 +0200
Message-ID: <3AE980E70147AA03@smtp1.libero.it> (added by postmaster@iol.it)
From: “Neos”<
*@iol.it>
To: badyoungbrothers@inwind.it
Subject: link dvd
date: Sat, 28 Jul 2001 17.48.46 +0200
MIME-Version: 1.0
X-MIMEOLE: Produced By Microsoft MimeOLE V5.50.4133.2400
X-Mailer: Microsoft Outlook Express 5.50.4133.2400
Content-Type: multipart/mixed; boundary="----75E84F25_Outlook_Express_message_boundary"
Content-Disposition: Multipart message


                   Informazioni sui virus

Nome virus: W32.Sircam.Worm@mm
Alias:
Infetta: .EXE file
Probabilità : Raro
Lunghezza: 5046 byte

Caratteristiche

Residente in memoriaNo Evento causale No
Stealth parziale No Crittografato No
Stealth completo No Polimorfico No

Commenti:
No additional information.

edit by zio73
(mi hanno chiesto di eliminare la mail in oggetto per evitare dei rischi ) scusate l’edit del post ma mi sembrava una richiesta giusta
[/B]

RAGAZZI COSA MOLTO STRANA:

Mi è arrivato lo stesso messaggio di posta con:
Mittente:“Anastasio Aniello”
Oggetto:“Dati iver Michele1”
File in allegato:“dati iver michele1.xls.pif” di 154 KB

Che ne dite???

Cosa ci faccio??


#12

Il SirCam è un virus che, una volta installato, si auto spedisce a
tutti gli indirizzi che il mal capitato ha nella lista, e come se non
bastasse spedisce anche i documenti personali che il solito mal
capitato ha nella omonima cartella…quindi…
non aprite mai quell’allegato !!!:confused:


#13

… l’ho già desintegrato!

Sarà per il prossimo… :wink:

Purteoppo bis ci sono alcuni recentissimi virus che non necessitano nemmeno di essere eseguiti, basta che outlook ve ne dia un’anteprima (mi sembra però che sfrutti un buco della sicurezza, quindi non è detto che infetti tutti i computer, ma solo quelli che non è stata applicata la patch in questione).

Comunque quel tipo di virus non è tra questi!


#14

… la vicenda è chiusa!


#15

Ma perchè il mio NORTON ANTIVIRUS non lo ha rilevato come virus???

Di solito mi avverte sempre!!!
L’ho anche aggiornato!!!


#16

Esiste una apposita utility della symantec per “debellare” il pc infetto dal W32.sifcam anche perché mi hanno detto alcuni amici che Norton li incasinava di più perché non sempre lo riconosce e sopratutto se cerca di pulire fà dei macelli…
Comunque il link é :
http://www.sarc.com/avcenter/FixSirc.com

Spero di essere stato utile…

Saluti Napalmz

P.S: io comunque per sicurezza ho reinstallato un’immagine “pulita” di un mese fà , visto che nonostante tutto qualcosa non andava come volevo io ( ogni tanto dei blocchi di sist senza motivo …) adesso é tutto ok!!!


#17

Il virus in questione mi sa che è cryptato e il norton lo illude molto facilmente ma anche il viruscan non lo trova da solo un falso allarme. Potrebbe dare esito positivo il norman antivirus o
f-secure.
Trovo molto strano perchè da dos te li trovano ma da win nisba booooooo


#18

AVP lo ha trovato … ( anche se oramai avevo già pestato la cacca !!!) io ho ancora la versione di DRAC 3.0 build 019…ma va molto bene se si tiene aggiornata …

Saluti Napalmz:cool:


#19

… in quanto si va ad allocare in zone protette del sistema!

Come sdradicarlo facilmente (col norton):

  1. “Opzioni” -> “Scansione” qui selezionate “Tutti i file”
  2. “Esclusioni” rimuovete tutte le voci presenti nella finestra

procedete quindi alla scansione!

Se avete un firewall vi potete accorgere dell’attività del virus (se presentenel vostro sistema) usando per esempio zonealarm, controllando nella finestra dei programmi attivi durante la connessione internet la presenza di un programma con un nome simile a Sircam (generalmente ha un’icona a forma di pagina web)!

Ciao a tutti!

N.B. aspettando redcode!!!


#20

‘Hi! How are you? I send you this file in order to have
your advice. See you later’. ‘I hope you like the file
that I send to you’. Avete ricevuto un messaggio via mail
con un testo simile? Allora ci auguriamo che l’abbiate
eliminato immediatamente, senza aprire l’allegato che lo
accompagnava. Mail del genere indicano che siete stati
presi di mira da SirCam, il virus che una volta installato
sul vostro pc tenta di cancellare tutti i file sul drive
dove e’ installato Windows. In piu’, cerca di occupare tutto
lo spazio disponibile su disco, ripetendo all’infinito una
serie di frasi. Grazie a un errore del suo autore nelle
composizione del virus, ci sono poche probabilita’ che
diventi cosi’ tanto pericoloso. Ma c’e’ una cosa che
sta facendo di certo. Sta diffondendo a caso agli indirizzi
nella rubrica di Outlook, file piu’ o meno riservati.
Questi documenti potrebbero fare il giro del mondo, ma
prima che ad estranei arriverebbero ai vostri amici, ai
quali manderete non solo un virus ma anche un file salvato
su disco. E tutto questo senza saperlo.
SirCam e’ un worm costituito da un file eseguibile di circa
130 KB, che al momento della diffusione si appende a un file
.DOC, .XLS, .ZIP, per esempio. Mittente e soggetto della
mail possono trarre in inganno, ma non aprite mai l’allegato.

Se lo fate, avrete bisogno di consulenza.

http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.removal.tool.html