Novinky
Z d∙vodu ΦasovΘ tφsn∞ je nßsledujφcφ text p°evß₧n∞ bez diakritiky, za co₧ se
velice omlouvßme.
D∞kujeme za pochopenφ.
Datum: 24.9. 2001
Aktualni virove nebezpeci - W32/Nimda !!!
Zdroj: AEC s.r.o.
Tento tyden v utery pozde odpoledne se i u nas objevil novy virus, ktery
v sobe obsahuje ty "nejlepsi" schopnosti, ktere mohl od svych predchudcu
prevzit. Jmenuje se W32/Nimda a v soucasne dobe se siri "In the Wild".
Diky svym schopnostem se radi mezi opravdu nebezpecne skodlive kody!
Ve svem repertoaru ma celou radu zpusobu sireni: infikovanym e-mailem,
po sdileni v lokalni siti a prostrednictvim WWW stranek. V postovnich
klientech MS Outlook a Outlook Express muze pri absenci prislusne
bezpecnostni zaplaty dojit k nepozorovanemu spusteni prilohy jiz pri
pouhem cteni zpravy nebo zobrazeni nahledu.
Infikovany e-mail je ve formatu HTML. Text v predmetu je nahodny nebo
zadny. Jinak je (az na spustitelnou prilohu - vetsinou je to soubor
README.EXE) prazdny.
V nebezpeci jsou uzivatele systemu Windows 95, Windows 98, Windows Me,
Windows NT 4 a Windows 2000.
W32/Nimda dokaze modifikovat webove stranky. Provadi to tak, ze k
dokumentum typu .ASP, .HTM, a .HTML a take k souborum se jmeny INDEX,
MAIN a DEFAULT pripojuje javascript. Ten ve svem dusledku zpusobi, ze si
uzivatel pri prohlizeni nakazene stranky nevedomky stahne .EML soubor s
virem.
K vyhledavani zranitelnych serveru vyuziva na rozdil od sveho predchudce
CodeRed take take "obycejne" stanice, coz mu dovoluje snadneji
proniknout napriklad na intranetove webove stranky skryte za firewallem.
Na servery pronika pomoci dalsi zname bezpecnostni slabiny, ktera
umoznuje spustit aplikaci na vzdalenem stroji.
Seminar AEC o elektronickem podpisu
Zdroj: AEC s.r.o.
Firma AEC se rozhodla usporadat seminar tykajici se elektronickeho
podpisu.
Naplni seminare predevsim bude:
- Vladni narizeni ze dne 25. cervence tohoto roku, kterym se provadi
zakon 227/2000 Sb. o elektronickem podpisu, ktere vstoupi v platnost 1.
rijna tohoto roku, a ktere definuje pouzivani elektronickeho podpisu ve
statni sprave (povinnost zrizovani podatelen a prijimani podani v
elektronicke podobe).
- Zakon 227/2000 Sb. o elektronickem podpisu a o zmene nekterych dalsich
zakonu.
- Provadeci vyhlaska Uradu na ochranu osobnich udaju (UOOU), ktera bude
dale upresnovat podminky stanovene v zakonu a dalsi pozadavky na
nastroje elektronickeho podpisu.
- Pracke priklady pouziti elektronickeho podpisu v aplikacich MS
Outlook a MS Explorer.
Seminar se uskutecni:
- 25. zari 2001 budova Stimbuilding, Vinohradska 184, Praha
- 26. zari 2001 prostory firmy AEC, Bayerova 799/30, Brno
- vzdy od 9:30 do 14:00 hodin
Mate problem s aktualizaci FSAV verze 4.x?
Zdroj: AEC s.r.o.
Pokud jste uzivateli antiviroveho programu F-Secure verze 4.x, mohli
jste se po aktualizaci minuly tyden potykat s problemy zpusobene chybou
v programu (podteceni bufferu).
Zakaznici pouzivajici stale verzi F-Secure Anti-virus 4.x chtejici
aktualizovat sve databaze pomoci souboru FSUPDATE.EXE musi nejdrive
aplikovat patch na gatekeeper! Tento patch prizpusobuje tuto verzi
gatekeeperu pro nove verze datovych souboru. Je nutny pro vsechny verze
4.x, krome verze 4.10, zde jiz update rezidentniho ovladace neni nutny.
Dalsi virove novinky
Zdroj: AEC s.r.o.
V minulych dnech byly do nasi databaze viru na http://www.aec.cz/vil
pridany popisy techto viru:
CodeBlue
Podobne jako CodeRed infikuje pocitace s operacnim systemem Windows
2000/NT s instalovanym IIS serverem, ze ktereho pote ve stanoveny cas
podnika DDoS utok.
Samotny cerv se sklada ze dvou souboru s nemennymi jmeny - SVCHOST.EXE a
HTTPEXT.DLL, ktere si cerv kopiruje do korenovych adresaru na disku.
Uvedene soubory lze standardne nalezt v systemovem podadresari SYSTEM
32. Jedna se totiz o systemove soubory, jejichz jmena si cerv "pouze
vypujcil".
K napadani serveru cerv CodeBlue, vyuziva bezpecnostni slabiny zname jiz
od rijna 2000 - "Web Directory Traversal exploit", ktera umoznuje na
infikovanem stroji spoustet soubory.
Creepy
W32/Creepy je virus sirici se v priloze e-mailu. Pokud je spusten, siri
se dale a provadi ruzne nepristojnosti v Internet Exploreru.
Popis:
Cerv sam o sobe je aplikace typu PE EXE o velikosti zhruba 330 kB,
napsana v Delphi.
Infikovany e-mail vetsinou obsahuje prilohu HYPNOSE.EXE (jmeno se muze
menit).
Programator cerva spolehal na to, ze pri jeho spusteni bude aktivni
Microsoft Outlook. Pokud nebezi, muze cinnost cerva "zhavarovat". K
sireni zneuziva adresy z Windows Address Book.
Pokud je cerv spusten, je take zobrazen jisty vzkaz v oknu "DOSovske"
aplikace.
Datum: 7.9. 2001
Novinky ve svete pocitacovych viru
Zdroj: AEC s.r.o.
Jiste budete souhlasit s tvrzenim, ze virova scenu posledni doby je
pomerne ziva. Zacalo to masivnim sirenim viru SirCam a (zvlaste v
mediich) popularnim "rudym" cervem CodeRed. Take v poslednich dnech se
objevilo nekolik nebezpecnych "drobecku". Zde o nich prinasime
informace:
W32/APost
je podle aktualnich udaju o sireni je v soucasne dobe druhym
nejrozsirenejsim virem tzv. "In the Wild".
V principu se jedna o "klasickeho" e-mailoveho cerva. Text zpravy, ve
ktere se siri, je napsan presne v duchu zasad socialniho inzenyrstvi -
nabada k otevreni prilohy. Pokud nasince nezarazi jiz text e-mailu v
anglictine, mela by jej zarazit koncovka prilozeneho souboru README.EXE.
Pokud je cerv spusten, rozesila se na vsechny e-mailove adresy, ktere
najde v Address Book Microsoft Outlooku. Dale se take nakopiruje do
adresare WINDOWS\SYSTEM a do korenovych adresaru mistnich disku. Po
vykonani techto cinnosti zobrazuje "maskovaci" chybove hlaseni programu
WinZip, ktere ma navodit dojem, ze jde o neuspesne rozbaleni archivu.
W32/Magistr.B
je novou variantou viru W32/Magistr. Podle dostupnych informaci se siri
"In the Wild". Nova varianta obsahuje nekolik vylepseni, ktere ji cini
neprijemnejsi, nez byla ta puvodni. Jedna se predevsim o vylepsenou
sifrovaci rutinu, ktera zaroven znesnadnuje dezinfekci napadenych
souboru, navic ma schopnost vyhledavani adres v dalsich databazich atd.
VBS/Cuerpo
se objevil v posledni prazdninovy den. Jeho vlastnosti naznacuji, ze by
se teoreticky mohl "uchytit" a zaradit se k virum, ktere dokazi
zneprijemnit uzivateli zivot. Predpovedi o jeho moznem masivnim sireni
se vsak dosud nepotvrdily.
Jeho hlavni nebezpecnou vlastnosti je, ze k jeho spusteni neni treba
kliknout na nakazenou prilohu, ale uplne postaci, pokud je napadeny
e-mail otevren. Nakazena zprava ve vetsine pripadu neobsahuje zadny
text. Vzdy je ale ve formatu HTML a obsahuje kod cerva. Nebezpecny
skript muze byt take obsazen v prilozenem souboru s koncovkou vbs.
Cinnost cerva pozname podle toho, ze uklada rozlicne soubory s nahodnymi
jmeny na pevny disk a zasahuje do klicu v registrech. Nespoleha pouze na
jedinou sirici rutinu. Mimo Microsoft Outlooku sbira e-mailove adresy
take z databazovych souboru ruznych typu.
Aktuality od vyrobcu antivirovych programu
Zdroj: AEC s.r.o.
F-Secure Anti-Virus
Antivirove reseni od finske firmy F-Secure (drive znama pod jmenem
Data-Fellows) je nastrojem pro ochranu jak jednotlivych
stanic, tak i celych siti. F-Secure je jednou z prednich firem z oboru
bezpecnosti a ochrany pocitacovych dat. Byla zalozena ve Finsku jiz v
roce 1988. Hlavni centra spolecnosti jsou v Helsinkach a v San Jose v
Kalifornii. Akvizici spolecnosti Modera Point vstoupil F-Secure i do
oblasti bezpecnostnich reseni pro mobilni platformy, zejmena pro
operacni systemy EPOC a PalmOS. Antivirovy software F-Secure vykazuje ve
vsech nezavislych testech stabilne dobre vysledky.
Obecne lze o vsech produktech z portfolia F-Secure rici, ze:
- u centralne rizeny a spravovany (Centrally-managed)
- uji na principu tzv. bezpecnostnich politik (Policy based)
- lze je distribuovat z jednoho mista (Widely distributed)
- lze je pouzivat naprosto automaticky (Totally automated)
- jsou maximalne transparentni pro koncoveho uzivatele (End user
transparent)
Kaspersky Lab
Spolecnost Kaspersky Lab oznamila vypusteni testovaci beta verze
Kaspersky Anti-Virus pro SMTP brany. Plna verze by mela byt dostupna v
rijnu tohoto roku.
Kaspersky Anti-Virus pro SMTP brany je software, ktery dokaze odhalit
pritomnost viru ve veskerem prichozim i odchozim SMTP provozu. Tento
system je zarazen mezi vnejsi prostredi a vlastni e-mailovy server, kde
umi nejen odhalovat skodlive kody a cistit prenasene soubory, ale dokaze
take zabranit pripadnym DoS utokum vedenym prostrednictvim SMTP.
Samozrejmosti je spolehlive skenovani priloh e-mailu a heuristicky
skenovaci motor, ktery dokaze odhalit i vetsinu dosud neznamych
skodlivych kodu. Management konzole zalozena na Web technologii umoznuje
vzdalene spravovat jednotlive moduly, automaticky updatovat a generovat
statisticke reporty.
V zavislosti na prednastavene konfiguraci software umoznuje nakazeny
e-mail zablokovat, smazat nebo ignorovat. V kazdem pripade vsak o
incidentu informuje nejen administratora, ale take prijemce a
odesilatele.
Datum: 28.8. 2001
Po RTF byl diskreditovan i format PDF
Zdroj: AEC s.r.o.
Uzivatele PDF dokumentu se jeste donedavna citili bezpecne. PDF bylo
povazovano za jeden z poslednich duveryhodnych formatu dokumentu.
Programatori pocitacovych viru vsak nedavno "zborili" dalsi zazity
nazor, ze format PDF je bezpecny - dokazali vytvorit prakticky priklad
viru, ktery se siri v dokumentech ve formatu PDF.
Prozatim se jedna o tzv. laboratorni vzorek, ktery se nesiri "In the
Wild". Opet ale plati ono zname: Co kdyby. VBS/Peachy vyuziva schopnosti
PDF souboru obsahovat dokumenty jinych typu. Samotny virus je v podstate
VBScript e-mailovy cerv s "klasickymi cervimi" vlastnostmi. Siri se v
e-mailech s nahodne sestavenym preddefinovanym textem a infikovanou
prilohou v podobe PDF dokumentu.
Vetsina uzivatelu PDF pouzivajicich prohlizec techto dokumentu - Acrobat
Reader je vsak i nadale v bezpeci. Vytvoreny vzorek se umi sirit pouze
pomoci "plne verze" Adobe Acrobatu. Firma Adobe slibuje v blizke dobe
zmenit svuj software tak, aby neumoznoval sireni viru.
Novinky od McAfee
Zdroj: AEC s.r.o.
Spolecnost McAfee oznamila, ze do sveho produktoveho baliku Active
Virus Defence pridava funkci pro skenovani a eliminaci tzv. "zombie"
(system, ktery je zneuzit treti stranou k provedeni DDoS utoku). Vetsina
antivirovych Produkty McAfee nyni umi krome SMTP provozu monitorovat
take prichozi a odchozi HTTP provoz a hledat v nem naznaky DDoS utoku.
Na obzoru se jiz take rysuje zbrusu nova technologie od spolecnosti
McAfee, prozatim znama pod kodovym oznacenim "Stinger", ktera by mela
byt pro priste schopna pomoci pokrocileho skenovani a filtrace paketu
identifikovat skodlive kody, jako je napriklad znamy Code Red. Stinger
se mezi produkty McAfee ocekava pristi rok v breznu.
Datum: 30.7. 2001
SirCam - vzruseni behem leta
Zdroj: AEC s.r.o.
V minulych dnech zavital take do nasi republiky virus s oznacenim
W32/SirCam. Tento "drobecek" se usazuje v "odpadkovem kosi" Windows a v
adresari C:\WINDOWS\SYSTEM. Siri se na vsechny e-mailove adresy, ktere
najde ve Windows Address Book, na webovych strankach ulo₧en²ch v
poΦφtaΦi (Internet cached files) a pres sitova sdileni.
CodeRed - cerv ve sluzbach hackeru
Zdroj: AEC s.r.o.
Internetovy cerv CodeRed (pravdepodobne puvodem z Ciny) "proleza"
Internetem a hleda IIS servery s neopravenou .ida chybou. Toto vse dela
proto, aby mohl z infikovanych serveru utocit na dalsi domeny - treba
na www.whitehouse.gov. Podle nekterych zprav tento cily cervik prozatim
ulovil tisφce serveru po celem svete. Toto cislo je alarmujici zejmena z
toho duvodu, ze chyba, kterou zneuziva, je znama jiz od 18. cervna
tohoto roku a k dispozici je i prislusna oprava.
Vladni narizeni - zase o krok blize elektronickemu podpisu
Zdroj: AEC s.r.o.
Ceska vlada prijala ve stredu 25. cervence 2001 dlouho a s nadejemi
ocekavane provadeci narizeni k Zakonu o elektronickem podpisu. To mimo
jine pocita take se zrizenim elektronickych podatelen, ktere budou
obcane moci v budoucnosti vyuzivat ke komunikaci s urady prostrednictvim
Internetu.
K tomu, aby mohli lide ke komunikaci se statnimi urady pouzivat
elektronicky podpis, je jeste treba, aby Urad pro ochranu osobnich udaju
(www.uoou.cz) vydal vyhlasku, ktera umozni vznik akreditovanych
certifikacnich autorit.
Srovnavaci test antivirovych programu casopisu Virus Bulletin
Zdroj: AEC s.r.o.
V cervencovem cisle casopisu Virus Bulletin vysel srovnavaci test
antivirovych programu pro DOS. Oceneni "Virus Bulletin 100%" tentokrat
nemohlo byt udeleno zadnemu z testovanych antivirovych programu, protoze
pod DOSem nelze testovat on-access skenery (pametove rezidentni
antivirova ochrana - rezidentni stity). Na same spici pomyslneho
zebricku se umistily mimo jine take antivirove programy z nasi nabidky
VirusScan (Network Associates) a Kaspersky Anti-Virus (Kaspersky Lab).
Tyto programy ziskaly 100 % ve vsech testovanych kategoriich vcetne
velmi sledovane kategorie "In The Wild" vir∙.
Datum: 13.7. 2001
SP 1 pro Microsoft Exchange 2000 zlepsi antivirovou ochranu
Zdroj: AEC s.r.o.
Jednou z nejvyznamnejsich zprav z oblasti IT uplynulych dni bylo
bezesporu vydani Service Packu 1 pro Microsoft Exchange 2000.
Z hlediska antivirove ochrany elektronicke posty je tato udalost
dulezita zejmena proto, ze SP 1 by mel resit nove API rozhrani pouzivane
antivirovymi programy ke kontrole e-mailu na pritomnost viru a
skodlivych kodu. Antiviry by mely pomoci noveho rozhrani skenovat postu
na MS Exchange serveru rychleji a kvalitneji, nez tomu bylo doposud.
Ihned po zverejneni teto udalosti se ozvali i predni vyrobci
antivirovych produktu, kteri vyjadrili pripravenost svych produktu API
rozhrani pouzivat.
PGP GEMS - novy nastroj pro vzdalenou spravu Firewallu a VPN
Zdroj: AEC s.r.o.
Spolecnost PGP Security (soucast Network Associates) zaradila do
portfolia svych produktu novy nastroj pro vzdalenou spravu Gauntlet
firewallu a virtualnich privatnich siti (VPN) - PGP Global Enterprise
Management System (GEMS). Ten vyraznym zpusobem zkvalitnuje pouzivani
techto zarizeni, ktera jsou casto fyzicky rozmistena na geograficky
velmi vzdalenych mistech. Drobnou "vadou na krase" je pouze jeho cena.
Na druhou stranu pak muze jeden administrator prostrednictvim konzole
spravovat vsechny firewally z jednoho centra. Centrala ma take vzdy
aktualni prehled o stavu svych lokalnich siti.
GEMS umi bezpecnym a na ovladani jednoduchym (point-and-click) zpusobem
obsluhovat firewally a VPN provozovane na mnozstvi rozlicnych operacnich
systemu. Samotna aplikace je ovladana pomoci grafickeho uzivatelskeho
rozhrani (GUI), ktere je zalozene na Jave. K sifrovani komunikace mezi
GEMS a firewallem je pouzit algoritmus 3DES. Z jedne konzole lze
obsluhovat az 500 vzdalenych zarizeni.
Ani vyrobci antiviru nezapominaji na Linux
Zdroj: AEC s.r.o.
Linux byl dlouhou dobu povazovan za platformu, ktera si nemusi "delat
hlavu" s pocitacovymi viry. Nadseni nad bezpecnosti tohoto popularniho
operacniho systemu vsak pomerne brzy opadla. Tento rok se dokonce
objevil "In The Wild" i prvni pocitacovy virus schopny zivota na Linuxu.
Mnoho dalsich exemplaru existuje jako laboratorni vzorky. V teto situaci
tedy neni nic podivneho na tom, ze i vyrobci antivirovych programu
vyvijeji a prodavaji svoje produkty pro linuxove (vetsinou serverove)
platformy.
Nemecky pocitacovy casopis "Linux Computing" zabyvajici se tematy
Linuxu, provedl test linuxovych antivirovych programu. Testovani, ktere
se uskutecnilo v antivirovem testovacim centru Magdeburske univerzity
(www.av-test.de), se mimo jine zucastnily take firmy McAfee, F-Secure,
Network Associates a Kaspersky Lab. Testovani bylo provedeno na
platforme SuSe-Linux 6.3, za pouziti 446 "obycejnych" skodlivych kodu
nalezajicich se nyni "in the wild" a 28 linuxovymi "specialitkami"
pouzivanymi jako testovaci vzorky.
Nejlepe z testovani podle "Linux Computing" vysel Kaspersky Anti-Virus
for Linux server, ktery prokazal sve schopnosti zejmena tim, ze odhalil
100 % pouzitych skodlivych kodu. Stal se tak jednim ze dvou vitezu
tohoto testu.
Vyber z novych pocitacovych viru
Zdroj: AEC s.r.o.
Za uplynulych 14 dni se objevilo nekolik novych skodlivych kodu. Nekolik
malo z nich jsme pro Vas vybrali. Jedna se o skodlive kody, ktere
pouzivaji metody tzv. socialniho inzenyrstvi.
E-mailovy cerv FOG je nebezpecny zejmena tim, ze muze infikovany pocitac
zneuzit k distribuovanemu DoS (Denied of Service) utoku. Obet takoveho
utoku vas muze povazovat za utocnika, aniz by jste o tom vubec vedeli.
Fog se umi sirit e-mailem jako prilozeny soubor ANTIVIRUS.EXE. Aktivni
virus prohledava Inbox, kde hleda dosle e-maily s minimalne jednou
prilohou, na ktere potom posila sebe jako odpoved. Samotny text e-mailu
je "vypracovan" presne podle zasad socialniho inzenyrstvi. Informuje
prijemce zpravy, ze odesilatel od nej obdrzel infikovanou zpravu. Tvrdi,
ze s pocitacem navstivil servis, kde mu poskytli tento "lecici" soubor a
rekli, ze ho ma zaslat i jemu. Je tedy velice pravdepodobne, ze prijemce
takto formulovane zpravy v panice na inkriminovany soubor klikne, a tim
spusti virus.
Dalsim prikladem cerva pouzivajiciho metody socialniho inzenyrstvi je
Naver. Jedna se o v podstate klasickeho e-mailoveho cerva, ktery se
"snazi tvarit" jako bezpecnostni upgrade zaslany firmou Microsoft. V
textu e-mailu duveryhodne popisuje svuj puvod a snazi se uzivatele
presvedcit o sve neskodnosti. Po spusteni dokonce simuluje instalaci
pomoci zvlastnich dialogovych oken. V jeho dalsim repertoaru nastesti
chybi destrukcni rutiny a jedinou vyraznejsi ujmou je tedy "pouze" jeho
samosireni.
Poslednim prikladem je e-mailovy cerv pojmenovany Funso (nebo taky
Menace), ktery nabizi neco "really funny!". Soubor se skodlivym kodem
obsazeny v priloze ma navic jmeno SOFUNNY.EXE. Tento "drobecek" zneuziva
ke svemu samosireni postovniho klienta AOL a k tomu krade login a heslo
pro pripojeni prostrednictvim tohoto poskytovatele. Vzhledem k absenci
AOL u nas je to "pouze" dalsi priklad skodliveho kodu.
Datum: 1.9. 2001
Rßdi bychom se omluvili naÜim Φtenß°∙m, ₧e se design ani obsah InfoViru za dobu
prßzdnin moc nezm∞nil. D∙vod je jednoduch²: Jak vφte, InfoVir je projekt student∙. A
aΦkoliv by se dalo p°edpoklßdat, ₧e budeme mφt o prßzdninßch vφce volnΘho Φasu - a
tedy ₧e ve v²voji InfoViru nastanou velkΘm zm∞ny, je nutnΘ si uv∞domit, ₧e prßzdniny jsou
(mimo jinΘ) Φasem, kdy jsme ΦßsteΦn∞ ze svΘ v∙le, ΦßsteΦn∞ z v∙le rodiΦ∙, Φasto
od°φznuti od civilizace - mφsta, kde bychom na zm∞nßch mohli pracovat a zm∞ny ihned
za°adit do InfoViru. NicmΘn∞ i za t∞chto "ztφ₧en²ch" podmφnek jsme pracovat nep°estali -
zm∞ny uvidφte v nejbli₧Üφ dob∞. Jako nejd∙le₧it∞jÜφ zm∞nu bych uvedl novΘho partnera
projektu InfoVir - firmu Microsoft. V∞°φme, ₧e tato spoluprßce bude vΘst ke zkvalitn∞nφ
slu₧eb Vßm - naÜim zßkaznφk∙m. Navφc budeme po°ßdat pravideln∞ NetMeeting, na
kterΘm se s nßmi m∙₧ete spojit on-line (podmφnkou je mφt nainstalovßn oper. systΘm MS
Windows, zvukovou kartu, InterNet a mikrofon). N∞kterΘ zm∞ny se objevφ hned - vφce
informacφ o problΘmech ochrany dat v systΘmu MS Windows, na jinΘ si budete muset
chvφli poΦkat - uvedeme jen, ₧e se program DemoVir bude p°ed∞lßvat do Windows a ₧e
design vznikne kombinacφ flash technik a ASP internetov²ch strßnek. NaÜφm cφlem i
nadßle nebude vnucovßnφ urΦit²ch produkt∙ n∞kterΘ z Φlensk²ch firem, ale snaha o
poskytnutφ max. mno₧stvφ u₧iteΦn²ch informacφ Vßm - naÜim Φtenß°∙m.
Michal ètoppl, InfoVir Project Leader
Martin Strachota, Design Team Leader
Datum: 29.6. 2001
Nebezpecnost RTF dokumentu potvrzena
Zdroj: AEC s.r.o.
Neni tomu tak davno, co na verejnost prosakly informace o nalezene
bezpecnostni slabine dokumentu ve formatu RTF, ktery byl prozatim povazovan
za zcela bezpecny.
Ukazalo se, ze i RTF dokument muze obsahovat skodlivy kod, respektive odkaz
(link) na misto (sablonu), kde se fyzicky vyskytuje. V nedavnych dnech se
dokonce objevil i priklad prakticke realizace takovehoto skodliveho kodu.
Jmenuje se Goga a je to kombinace pocitacoveho makroviru a trojskeho kone.
Nastesti existuje pouze jako laboratorni vzorek.
Dokumentu ve formatu RTF se tedy zatim nemusite bat. Pokud ale Vas Word
jeste nema bezpecnostni zaplatu, doporucujeme ji nainstalovat. Najdete ji na
techto adresach:
F-Secure Policy Manager - nastroj efektivni bezpecnostni politiky
Byla vydana nova verze programu F-Secure Policy Manager, ktery je nyni k dispozici
v nejnovejsi verzi 5 a ktera obsahuje mnoho novinek a vylepseni. Pomoci
F-Secure Policy Manageru lze spravovat nejen antivirovy software F-Secure,
ale take radu dalsich zarizeni, jako jsou brany do Internetu, servery a
samozrejme stanice.
McAfee uvedl na trh avizovany produkt WebShield e500 AsaP
Jedna se o unikatni zarizeni, ktere v sobe spojuje kvalitni hardware a
specialni software. Tento prvek firemni sitove bezpecnosti se umistuje mezi
firewall a mail server, kde neustale skenuje prichozi a odchozi SMTP provoz
a hleda v nem obsazene viry a skodlive kody. Moznost vzdalene spravy
pomoci SecureBeat(tm) navic poskytuje nastroje k udrzovani antivirove
ochrany v neustale aktualnim stavu.
E-maily, ktere jsou infikovany skodlivymi kody, jsou pomoci WebShieldu e500
AsaP spolehlive vycisteny nebo ulozeny do karanteny. Mezi dalsi uzitecne
vlastnosti tohoto zarizeni patri napriklad automaticke filtrovani obsahu a
automaticke updaty. Specialni tzv. Anti-Relay technologie dokaze odfiltrovat
i prichozi reklamni e-maily - tzv. spamy.
Hadra nebo Hydra? - aneb zmatek ve jmenech pocitacovych viru
Zdroj: AEC s.r.o.
Pro zasvecene a pravidelne pozorovatele virove sceny neni zmatek ve jmenech
viru nicim novym. Velmi zajimave je vsimnout si jmena jednoho viru tzv. z
"domaci provenience", ktery jsme zaznamenali v posledni dobe. Puvodni zamer
autora viru byl dat svemu milackovi jmeno Hydra. Nektere antivirove firmy
sice vedou tohoto "drobecka" pod oznacenim Hydra (napr. Kaspersky Anti-Virus
nebo CA), ale nektere jej prekrtily na Hadra (napr. F-Secure nebo NAI), coz
se asi autora viru opravdu dotklo. V cestine navic zni zkomolenina jeste
kouzelneji...
Novinky na poli pocitacovych viru - Marijuana a ty dalsi
Zdroj: AEC s.r.o.
Prvnim skodlivym kodem poslednich dnu, ktery stoji za povsimnuti je
W95/Linong@MM. V podstate se jedna o "radoveho" e-mailoveho cerva, ktery ke
svemu sireni zneuziva Address Book programu MS Outlook, kde hleda svoje
dalsi obeti. Samotny cerv je Win32 soubor s priponou .EXE, ktery je pripojen
k e-mailu s rozlicnym textem, nahodne vybiranym z preddefinovanych moznosti.
Dalsim klasickym e-mailovym cervem, ktery je zajimavy spise svym vizualnim
obsahem, je I-worm.Mari. Ten se svou cinnosti snazi propagovat legalizaci
pouzivani marihuany. Siri se jako .EXE soubor v priloze e-mailu, pricemz
vyuziva MS Outlook a jeho Adress Book. Cerv se pomoci obvyklych prostredku
usazuje v infikovanem systemu, zobrazuje se jako ikona v "system tray" a ve
stanoveny cas o sobe dava vedet zobrazovanim vzkazu na monitoru.
Do tretice si dovolujeme predstavit klasicky Win32 virus s priznacnym nazvem
Blueballs. Projevuje se tim, ze ve stanoveny cas kresli na obrazovku
monitoru mnozici se modre skvrny. Pokud pomineme infikovani .EXE souboru,
tak zadne dalsi skodlive cinnosti nepodnika.
Datum: 18.6. 2001
NORMAN SHREDDER akceptovan Ministerstvem obrany CR
Zdroj: AEC s.r.o.
Produkt NORMAN SHREDDER patrici do baliku NORMAN SECURITY SUITE (drive
IRONWARE) vyvijeneho puvodne ve spolecnosti AEC a posleze prodaneho
nadnarodni spolecnosti NORMAN ASA byl po narocnych zkouskach na
pracovisti Odboru informatizace Hlavniho financniho uradu Ministerstva obrany
akceptovan pro bezpecne mazani pevnych disku a jejich nasledne
odtajneni.
NORMAN SHREDDER slouzi k neobnovitelnemu mazani souboru nebo disku. Data
umoznuje mazat jak na vyzadani (FastClean), tak na predvolenou klavesovou
zkratku (PanicShredder). Princip spociva v nekolikanasobnem prepsani
obsahu
souboru (az 26krat), jeho zkraceni na nulovou delku a teprve pote i
smazani.
Pocet prepsani i retezec, ktery bude pouzit pro prepisovani dat, lze v
programu nastavit nebo je generovan nahodne.
Nekolik novinek od McAfee
Zdroj: AEC s.r.o.
Co se v posledni dobe stalo u jednoho z nejvetsich svetovych vyrobcu
antiviroveho software?
- McAffe uvolnil novou verzi ePolicy Orchestratoru. Nova verze ma
oznaceni 2.0.0 a obsahuje mnoho zajimavych funkci a novinek. Jednou z
nejvyznamejsich je moznost centralni spravy napric antivirovymi
platformami
vicero vyrobcu a moznost administrace az 250 000 uzivatelu z jednoho
serveru
(ePO 1.1 umel "jen" 100.000 klientskych stanic).
- McAfee VirusScan vyhral v testech antivirovych programu provadenych ve
Virus Test Centrum (VTC) pri Hamburgske univerzite. Toto centrum zverejnilo
vysledky dubnoveho testovani antivirovych produktu.
- McAfee v nejblizsi dobe zacne dodavat nove antivirove reseni
(appliance) WebShield e500 AsaP, ktere predstavuje komplexni zajisteni
e-mailove komunikace ve firme.
LoveLetter stokrat jinak aneb VBS/LoveLetter.CN
Zdroj: AEC s.r.o.
Velice popularni e-mailovy cerv "LoveLetter" se dockal sve dalsi varianty.
Tentokrat spojil sve sily se starym znamym virem WIN95/CIH alias
Cernobylem.
Jako motivaci k otevreni souboru s dvojitou priponou vyuziva prislib
shlednuti obrazku nahe Jennifer Lopezove. Inu metody socialniho
inzenyrstvi
jsou mezi tvurci cervu stale popularni.br>
VBS/LoveLetter.CN je klasicky e-mailovy cerv s vlastnostmi, ktere jsou pro
ne typicke. Napada soubory typu .CSS, .HTA, .JPG, .JPEG, .JS, .JSE, .MP2,
.MP3, .SCT, .VBS, .VBE, .WSH na mistnich i sdilenych discich.
Datum: 31.05.2001
KONFERENCE SECURITY 2001 SE BLIZI
Zdroj: AEC s.r.o.
7. cervna firma AEC s.r.o. porada sesty rocnik konference Security 2001,
ktera se bude tykat otazek ohledne bezpecnosti dat.
SNIFFER ROZSIRUJE SVE MOZNOSTI
Zdroj: AEC s.r.o.
Firma Sniffer Technologies (divize spolecnosti Network Associates) ohlasila
uvedeni dalsi soucasti reseni Sniffer. Sniffer Voice je reseni zajistujici
sitovou spravu ruznych typu dat, pricemz zahrnuje nejen hlasovou komunikaci
po siti, ale i tradicni e-mailovou komunikaci, komunikaci po Internetu a
napriklad take praci s firemnimi databazemi.
Pomoci specialnich technologii pro monitoring, diagnostiku a reseni problemu
vznikajicich na sitich pomaha Sniffer Voice predchazet krizovym situacim a
zajistuje hladky chod hlasovych sluzeb realizovanych na IP sitich (VoIP).
Sniffer Voice dovoluje optimalizovat kvalitu prenosu a zajistit jeho
bezpecnost.
KVARTETO NOVYCH POCITACOVYCH VIRU
Zdroj: AEC s.r.o.
Pokud statistiky antivirovych firem hovori o tom, ze mesicne se objevuje
sest az osm set skodlivych kodu, tak v zadnem pripade neprehaneji. Drtiva
vetsina z nich pritom nestoji za rec. Ovsem roste i pocet tech, ktere jsou z
nejruznejsich duvodu zajimave ci nebezpecne. Jen v poslednich dnech se
objevily nejmene ctyri kody, se kterymi je radno se alespon letmo seznamit.
MAWANELLA - Jedna se o skodlivy kod sireny na priloze zpravy elektronicke
posty v souboru Mawanella.vbs. Pokud jej spustite, pokousi se rozeslat sam
sebe na kontakty v adresari postovniho klienta. Pokud se mu to nezadari,
pozada uzivatele, aby tuto cinnost vykonal misto nej. Jeho projev je pomerne
neskodny - v dialogovem okne se snazi zobrazit jednoduchou kresbicku s
poukazem na nasili proti muslimum na Sri Lance.
HARD - Dalsi z rady vicemene "standardnich" skodlivych kodu (tj. vstupuje do
pocitace a pokousi se rozeslat na vsechny e-maily ulozene v adresari). Merou
vice nez vrchovatou ovsem vyuziva socialniho inzenyrstvi, kdyz se snazi
vydavat se za informaci o viru VBS.AmericanHistoryX_II@mm, kterou vydala
spolecnost Symantec. Po spusteni pripojeneho souboru www.symantec.com.vbs se
zobrazi popis neexistujiciho viru a zaroven dochazi k infikovani pocitace.
HOMEPAGE - Nic noveho pod sluncem. Skodlivy kod se siri v souboru
homepage.HTML.vbs a pokud je v pocitaci nastaveno "nezobrazovat zname
pripony", pak se muze uzivateli jevit jako homepade.HTML. Po svem spusteni
(prichazi na priloze e-mailove zpravy) se pokousi otevrit jednu ze ctyri
webovskych stranek s obsahem pro velmi dospele. To aby zakryl svou
pritomnost.
HAPPYTIME - Skodlivy kod, ktery vyuziva znamou bezpecnostni "diru" v
aplikaci MS Outlook Express, coz za urcitych okolnosti umoznuje jeho
vykonani automaticky - pouze po otevreni e-mailove zpravy. Kdo tuto aplikaci
nepouziva a kdo pravidelne "zaplatuje", nemusi se skodliveho kodu HappyTime
obavat. Tedy, pokud jej vlastnorucne nespusti z prilohy e-mailove zpravy.
Vzdy, kdyz je soucet dne a mesice v aktualnim datu roven trinacti, smaze
HappyTime nahodne jeden exe ci dll soubor.
Datum: 2.5. 2001
ATCHER - DALSI NEBEZPECI PRO POCITACE
Zdroj: AEC s.r.o.
E-mailovy cerv Matcher se siri pomoci zpravy elektronicke posty, ktera
vypada nasledovne:
Predmet: Matcher
Telo: Want to find your love mates!!! Try this its cool... Looks and
Attitude Maching to opposite sex.
Priloha: matcher.exe
Po spusteni souboru matcher.exe z prilohy zpravy elektronicke posty dochazi
nejprve k modifikaci registru a nasledne i souboru autoexec.bat. Uprava v
registrech zajistuje Matcheru spusteni pri kazdem (re)startu pocitace. Zapis
do autoexec.bat zase zpusobi, ze pri startu operacniho systemu je zobrazeno
hlaseni "from: Bugger" a pocitac trpelive ceka na stisk jakekoliv klavesy.
Matcher vzapeti po zapisech do pocitace jeste rozesila sam sebe na vsechny
e-mailove kontakty v adresari MS Outlook. Tim je ovsem repertoar jeho
technik (nastesti) vycerpan.
JESTE JEDEN SKODLIVY KOD: BADTRANS
Zdroj: AEC s.r.o.
Mesicne se dle statistik antivirovych spolecnosti objevuje 300 az 500 novych
pocitacovych viru. Mezi nimi je ovsem jen nekolik malo skutecne nebezpecnych
- do teto kategorie ale bezesporu spada skodlivy kod Badtrans.
Cerv Badtrans (specialni pripad pocitacoveho viru, ktery ke svemu sireni
vyuziva elektronickou postu) sam o sobe je Win32.exe soubor. Po neopatrnem
spusteni prilohy u e-mailove zpravy se Badtrans nejprve "zabydli" v systemu
a aby zamaskoval svou pritomnost v pocitaci, zobrazi "chybove hlaseni" (ve
skutecnosti jde o predpripravene dialogove okno, ktere ma v uzivateli
vyvolat dojem, ze se spusteni aplikace nezdarilo):
Install error
File data corrupt:
probably due to bad data transmission or bad disk access.
Az pri dalsim spusteni pocitace je aktivovana sirici rutina Badtransu, ktery
se nejprve cca na pet minut odmlci a nasledne pomoci MAPI funkce "odpovida"
na neprectene e-maily. K "odpovedi" (ta je samozrejme generovana
automaticky) nezapomene pripojit svou kopii, jejiz jmeno je nahodne voleno
ze sestnacti moznych variant.
Datum: 13.4. 2001
Zdroj: AEC s.r.o.
MAGISTR - JESTE JEDNO VAROVANI
Pred mesicem byl poprve zaregistrovan skodlivy kod pojmenovany Magistr. Dnes
pripojujeme jeste jedno varovani: Destrukcni rutina Magistru je nastavena na aktivaci
prave jeden mesic po vstupu do pocitace.
Pokud nechcete byt nyni nemile prekvapeni, doporucujeme zkontrolovat obsah pocitace
kvalitnim antivirovym programem. Magistr je pritom silne polymorfnim kodem, coz
znesnadnuje jeho detekci. A jeste popis destrukcni akce: Mesic po infikovani pocitace
spusti Magistr svoji rutinu, ktera prepise soubory na lokalnich a sitovych discich textem
"YOUARESHIT". V systemu Windows 9x navic smaze CMOS, Flash a data na disku. A
pote jeste vypise vzkaz s vulgarnim obsahem.
Norman Virus Control - Virus Bulletin 100 PROCENT
Zdroj: AEC s.r.o.
Antivirovy produkt Norman Virus Control v5 pro platformy NT/2000 opet ziskal oceneni
Virus Bulletin 100 procent, tentokrat za mesic duben. Tato cena je udelovana
antivirovym produktum, ktere jsou schopny spolehlive odhalit 100 procent viru, ktere se
vyskytuji v realnem svete (tzv. "in the wild").
Virus Bulletin, ktery je na poli antiviru respektovanou autoritou, provadi testovani
antivirovych produktu vsech hlavnich svetovych vyrobcu jiz od roku 1998. V soucasne
dobe zverejnuje vysledky testu vzdy kazdy druhy mesic a poskytuje tak uzivatelum
kvalitni sluzbu pro orientaci mezi produkty jednotlivych vyrobcu.
ADORE, DALSI VIRUS PRO LINUX
Zdroj: AEC s.r.o.
Jiz drive zname skodlive kody Ramen a Lion pro platformu Linux maji noveho mladsiho
bratricka - jmenuje se Adore a chova se velice podobne jako jeho soukmenovci.
Adore je dalsi cerv, ktery se siri v prostredi Linux pomoci jiz drive odhalenych
bezpecnostnich chyb, ktere vyuzivaji vyse uvedene kody Ramen a Lion. Zaplaty na
objevene "diry" pro jednotlive distribuce Linuxu jsou jiz delsi dobu k dispozici (takze: kdo
pravidelne "zaplatuje", nemusi se niceho bat).
Adore pritom muze byt nebezpecny a provadi radu nezadoucich cinnosti: - pozmeni
vypisy procesu tak, aby v nich nebyla zrejma jeho cinnost, - odesle obsah nekterych
souboru na par "nenapadnych" e-mailovych adres, - instaluje v napadenem souboru
zadni vratka, ktera umozni osobam s pristupem k informacim, ktere cerv zasila na
zminene adresy, ovladat system na dalku.
Datum: 31.3.2001
Zdroj: AEC s.r.o.
PGP: VYSLEDKY ANALYZY CESKYCH KRYPTOLOGU
Zacalo to strucnym oznamenim, pak nasledovala tiskova konference a velke diskuse v
tisku casto prechazejici az temer do podnecovani hysterie okolo zakladu elektronickeho
podpisu.
Co se tedy za tim vsim skutecne skryva? Nejprve - utok, ktery panove Rosa a Klima
popsali, je skutecne realny a opodstatneny. Tyka se zpusobu prace se soukromym
klicem v PGP, presneji postupu, jakym je tento klic uchovavan. Existujici implementace
vychazi z doporuceni rfc2440, OpenPGP Message Format. Autori ukazali, ze
doporuceni dana touto normou nejsou z hlediska kryptograficke ochrany soukromeho
klice dostatecna. Co vic, ukazali, ze existujici implementace PGP (vcetne poslednich
verzi) nejsou vuci jimi popsanym utokum odolne. Toto se tyka podpisu, ktere jsou v PGP
vytvareny algoritmem DSA. Algoritmus RSA je nastesti v PGP osetren jeste dodatecnou
kontrolou integrity datoveho souboru, ve kterem lezi zasifrovany soukromy klic, a
popsany utok neni dle autoru tedy primo aplikovatelny.
Pro uspesnost utoku je treba zabezpecit, aby utocnik mel bud pristup k pocitaci
napadeneho uzivatele, nebo se k nemu mohl dostat pres sit, resp. mel pristup k
nejakemu pocitaci, ve kterem se vyskytuje exportovany zasifrovany soukromy klic
uzivatele (ve formatu OpenPGP).
Vuci PGP je to pomerne neprijemny uder. Analytikove se shoduji, ze bude treba
pripravit prislusne upravy vsech verzi, kterych se to tyka. Logicky se objevuji doporuceni
nevytvaret ukvapena reseni, ale provest hlubokou analyzu protokolu a vytvorit novy
(snazsi) pristup k formatum, ve kterych jsou soukrome klice v PGP ukladany spolu s
vyuzitim dalsich kontrol integrity prislusneho souboru dat.
Pres svoji rozsirenost je PGP oznacovano jako proprietarni reseni. Je to z cele rady
duvodu. Nektere okruhy otazek jsou totiz v techto produktech reseny postupy, ktere plati
vylucne pro software PGP (namatkou PGP/MIME, koncepce duvery, zminene formaty,
atd.). Nemaji vsak pravdu ti, kteri hovori o tom, ze PGP neni system, ktereho by se tykal
zakon o elektronickem podpisu. Je to jeden z mnoha moznych zpusobu, kterym lze k
vyuzivani elektronickeho podpisu dospet, a napr. pri existenci odpovidajici smlouvy
zucastnenych stran ma takovyto podpis i vsechny nalezitosti z hlediska zakonnych
dopadu.
Na druhou stranu je nutne rici, ze profesionalni reseni, ktera jsou pripravovana pro
reseni elektronickeho podpisu (ve svete, ale i u nas), vychazi v danem ohledu z jinych
principu a doporuceni (PKCS12). Takovato reseni jsou pripravovana pro vyuziti i v CR
(at uz ve statni ci soukrome sfere).
Neni tedy naprosto zadny duvod propadat jakekoliv panice.
PRO WINDOWS I LINUX - WINUX
Zdroj: AEC s.r.o.
A je to tady. Pocitacove viry prekrocily dalsi hranici a svetlo sveta spatril prvni
multiplatformni virus, se kterym se (teoreticky) muzeme setkat v operacnich systemech
Windows 9x/NT/2000 a take v Linuxu.
Win32/Winux.Linux (nektere antivirove programy jej mohou detekovat pod mirne
odlisnymi nazvy) napada jednak spustitelne "pe .exe" soubory (Windows), a jednak
"*.elf" soubory (Linux). Metoda napadeni souboru "*.exe" je celkem primitivni - virus
"pouze" prepise "reloc" sekci. Pokud je pro nej prilis mala, zustane soubor nakazy
usetren. Cinnost viru neposkozuje data, ale pouze snizuje vykon napadeneho pocitace.
Take "*.elf" soubory jsou taktez napadeny timto zpusobem. Pokud je napadeny soubor
spusten, virus prevezme kontrolu, napadne jej a vrati kontrolu zpet hostitelskemu
souboru.
Winux ve svem tele obsahuje nasledujici text: [Win32/Linux.Winux] multi-platform virus
byBenny/29A" and "This GNU program is covered by GPL.
POZOR NA DALSI SKODLIVY KOD: MAGISTR
Zdroj: AEC s.r.o.
Tento novy skodlivy kod, ktery se siri prostrednictvim e-mailu a pres lokalni site, se
podle dostupnych informaci "narodil" ve Svedsku v dilne hackera znameho pod
pseudonymem "The Judges Disemboleweler". Cerv pouziva siroky repertoar ruznych
technik slouzicich k zakryti jeho existence a cinnosti. Detekce a nasledna dezinfekce
napadenych pocitacu je tedy velmi komplikovana.
Magistr muze napadnout pocitac tremi zpusoby:
1) prostrednictvim e-mailove zpravy (pokud uzivatel spusti pripojeny soubor).
2) prostrednictvim sdileni v lokalnich sitich, kdy napada soubory pristupne prave pres
toto sdileni.
3) jakymkoliv jinym zpusobem, kterym lze prenest soubor do pocitace (napr. stahnutim z
Internetu nebo prostrednictvim diskety).
Jakmile je napadeny soubor spusten, virus zacne bezet na pozadi, a po kratkem cekani
spusti svoje vykonavaci rutiny: lokalni a sitovou infekci "Win32.exe" souboru, samosireni
pomoci emailu atd.
Magistr pri prvnim spusteni take napadne (vetsinou prvni) soubor v adresari Windows,
ktery infikuje a zaregistruje ho v auto-run registru a ve win.ini. Tim si zajisti svoji aktivaci
pri kazdem (re)startu pocitace. Vlozena procedura v napadenem programu neni
spustena, pokud predtim cerv neprovedl vyse popsane ukoly. V opacnem pripade je
aplikace zrusena a misto ni se spusti virus. Tim se vyhne vedlejsim ucinkum sveho
spusteni a zbytecne na sebe neupozorni.
Magistr prohledava vsechny lokalni a sdilene sitove disky, patra po adresarich WINNT,
WINDOWS,WIN95, WIN98 a nasledne jejich obsah popsanym zpusobem infikuje. Pro
vlastni pouziti vytvari soubor *.dat. Jmeno a umisteni tohoto souboru zalezi na jmenu
site nebo pocitace.
Pro hromadne rozesilani sebe sama virus pouziva databaze emailovych adres (Outlook
Express, Netscape Messenger, Internet Mail and News). Vygenerovany e-mail nemusi
obsahovat zadnou zpravu (toto neni absolutnim pravidlem, Magistr se nekdy siri v
elektronicke poste s textovou zpravou). Predmet zpravy je nahodne zvolen z
implementovaneho seznamu. Jmeno prilozeneho souboru je ruzne. Cerv vyhleda exe
soubor vetsi nez 132K, ktery infikuje a pripoji k emailu.
V zavislosti na svem vnitrnim pocitadle se virus pripomina zasahy do Windows
desktopu a hratkami s ikonami.
Mesic po infikovani pocitace spusti virus svoji destrukcni rutinu, ktera prepise soubory
na lokalnich a sitovych discich textem "YOUARESHIT". V systemu Windows 9x navic
smaze CMOS, Flash a data na disku. A pote jeste vypise vzkaz s vulgarnim
obsahem.