[27.9.2001]

Nejv∞tÜφ antivirovß udßlost ╚R zaΦala prßv∞ dnes !!!

Prßv∞ dnes zaΦal 11. roΦnφk mezinßrodnφ antivirovΘ konference Virus Bulletin (www.virusbtn.com), kterß se poprvΘ v historii konß i v ╚eskΘ Republice (Praha - Hotel Hilton).
Konference se z·Φastnφ vφce ne₧ 220 delegßt∙, kte°φ mohou vyslechnout vφce ne₧ 40 p°φsp∞vk∙ odbornφk∙ z celΘho sv∞ta (Symantec, NAI, Kaspersky...). Vlastnφ program je rozd∞len do dvou proud∙: technickΘho (technologickΘ aspekty vir∙ a boje proti nim) a praktickΘho (vlastnφ ochrana podnikov²ch informaΦnφch systΘm∙).
SouΦßstφ konference je i v²stava antivirov²ch °eÜenφ deseti p°ednφch sv∞tov²ch firem. Jedin²m Φesk²m zßstupcem na tΘto p°ehlφdce je firma ALWIL Software, kterß p°edvede sv∙j antivirov² systΘm avast! v sφti obsahujφcφ mimo jinΘ poΦφtaΦ HP Server RX4610. Tento poΦφtaΦ obsahuje Φty°i procesory Itanium IA-64, na nich₧ pob∞₧φ 64-bitov² operaΦnφ systΘm Windows.NET Advanced Server.

Fotky dodßm pozd∞ji. Zatφm alespo≥ mini-obrßzek hotelu Hilton (foto: Pavel BaudiÜ, Alwil software). Pokud by se naÜel n∞kdo, ochotn² napsat reportß₧ z tΘto akce, nech¥ se ozve na igi@viry.cz. Prost∞ jsem nem∞l po ruce p°ibli₧n∞ 1000 liber za vstupnΘ :(

[20.9.2001]

!!! Virus Win32/Nimda.A jeÜt∞ jednou !!!

Grisoft software (v²robce antiviru AVG) vydal krom∞ popisu (www.avg.cz/news/nimda.htm) i utilitu na odstran∞nφ tΘto bestie (virus Win32/Nimda.A). Je nutnΘ postupovat takto (Φßst Φlßnku od Grisoftu):

[19.9.2001]

!!! Virus Win32/Nimda.A se Üφ°φ sv∞tem !!!

Vzhledem k tomu, ₧e popis tΘto horkΘ novinky, viru Win32/Nimda.A byl na strßnkßch spoleΦnosti Alwil Software (www.asw.cz) tak dokonal², ani jsem se ho nepokouÜel napsat sßm :) Nßsleduje tedy popis podle spoleΦnosti Alwil Software, v²robce antiviru Avast:

Win32/Nimda je velmi komplikovan²m Internetov²m virem. P°ichßzφ ve form∞ p°φlohy zprßvy elektronickΘ poÜty pod jmΘnem README.EXE. takovß zprßva neobsahuje ₧ßdn² text a jejφ p°edm∞t je bu∩ prßzdn² nebo obsahuje nßhodn∞ vybranΘ jmΘno souboru. Virus vyu₧φvß bezpeΦnostnφ dφru starÜφch verzφ programu MS-Outlook a Outlook Express: p°φloha m∙₧e b²t spuÜt∞na pouh²m prohlφ₧enφm zprßvy v nßhledovΘm okn∞. Tento virus je schopen pracovat pod vÜemi verzemi operaΦnφho systΘmu Windows.

Po svΘm spuÜt∞nφ se virus zkopφruje do systΘmovΘho adresß°e Windows pod jmΘny LOAD.EXE a RICHED20.DLL (originßlnφ soubory jsou p°epsßny, pokud existujφ) Tyto soubory majφ nastaveny atributy system a hidden. Virus modifikuje takΘ soubor SYSTEM.INI a p°idßnφm nßsledujφcφho °ßdku zajistφ svoje spuÜt∞nφ p°i ka₧dΘm startu poΦφtaΦe:

[boot]
shell=explorer.exe load.exe -dontrunold

Pak virus vyhledßvß emailovΘ adresy dalÜφch ob∞tφ: krom∞ standardnφch zp∙sob∙ (Outlook, Exchange) takΘ prohledßvß soubory .HTM a .HTML.

Virus je takΘ schopen se Üφ°it po sdφlen²ch discφch v lokßlnφ sφti. Vytvß°φ soubory .EML a .NWS ve vÜech adresß°φch, ke kter²m mß prßvo zßpisu. Tyto soubory obsahujφ specißlnφ MIME formu viru, kterß m∙₧e b²t otev°ena programem Outlook. Virus tΘ₧ vyhledßvß strßnky HTML a ASP na vzdßlenΘm poΦφtaΦi a pokud n∞jakΘ nalezne, vytvo°φ soubor  README.EML a na konec webovΘ strßnky p°idß krßtk² program v Javascriptu, kter² p°i prohlφ₧enφ danΘ strßnky otev°e soubor README.EML. Virus takΘ otevφrß vÜechny lokßlnφ disky pro sdφlenφ po lokßlnφ sφti.

Virus kontaktuje poΦφtaΦe na nßhodn²ch IP adresßch a zjiÜ¥uje, zda se nejednß o IIS web server, kter² obsahuje bezpeΦnostnφ dφru znßmou jako Unicode vulnerability (ta byla vyu₧φvßna i wormem CodeBlue). Sna₧φ se i zjistit zadnφ vrßtka, otev°enß wormem  Win32/CodeRed.C. Pokud takov² server nalezne, hledß na n∞m soubory typu HTML/ASP, kterΘ pak modifikuje v²Üe popsan²m zp∙sobem. NapadenΘ servery pak mohou zobrazit strßnku, kterß u₧ivatele vybφzφ ke sta₧enφ a otev°enφ EML souboru, kter² obsahuje virus jako p°φlohu. Virus je schopen ve form∞ emailu proniknout i firewallem a infikovat kompletnφ intranetovΘ sφt∞.

Virus takΘ p°idßvß u₧ivatele GUEST do skupiny Administrators, tak₧e mß pak tento u₧ivatel plnou kontrolu nad poΦφtaΦem. TakΘ modifikuje klφΦe v registry tak, ₧e jsou skryta standardnφ rozÜφ°enφ souboru.
Virus obsahuje nßsledujφcφ text:

Concept Virus (CV) V.5, Copyright (C) 2001 R.P.China

VÜichni u₧ivatelΘ, kte°φ pou₧φvajφ Microsoft Internet Explorer (ver 5.01 - 5.5 bez SP2) by m∞li co nejd°φve instalovat Microsoft patch pro Incorrect MIME Header. VÜichni u₧ivatelΘ provozujφcφMS IIS web server by m∞li co nejd°φve instalovat  Microsoft IIS souhrn² patch ze dne 15. srpna 2001.

Odstran∞nφ:

• sma₧te p°φsluÜnou °ßdku v souboru SYSTEM.INI a p°estartujte poΦφtaΦ
• sma₧te vÜechny napadenΘ soubory (p∙vodnφ soubory, kterΘ byly virem p°epsßny, je nutno obnovit ze zßlo₧nφ kopie)
• sma₧te vÜechny EML soubory, vytvo°enΘ virem
• zkontrolujte vÜechny soubory HTML/ASP zda neobsahujφ Φßst viru vytvo°enou v Javascriptu
• zkontrolujte, zda je u₧ivatel GUEST Φlenem skupiny ADMINITRATORS a pokud ano, zruÜte toto Φlenstvφ
• zkontrolujte nastavenφ sdφlenφ lokßlnφch disk∙
• nainstalujte zßplaty od Microsoftu, zmφn∞nΘ v²Üe

[19.9.2001]

Pozor na README.EXE !!!

Pokud Vßm elektronickou poÜtou p°ijde soubor README.EXE, v∞°te tomu, ₧e jde s nejv∞tÜφ pravd∞podobnostφ o virus Win32/Nimda.A ! Ten se prßv∞ dnes zaΦal rychle Üφ°it.
Podrobn∞jÜφ informace p°inesu pozd∞ji, stejn∞ jako o novΘm v²tvoru od Bennyho/29A :)

[14.9.2001]

P°ed nedßvnem spat°il sv∞tlo sv∞ta Φerv BlueCodeà

Podobn∞ jako RedCode vyu₧φvß i tento Φerv ädφruô v aplikaci Microsoft Internet Information Server (IIS). Pokud nenφ tato dφra oÜet°ena p°φsluÜnou zßplatou (patch), mß Φerv zelenou. V takovΘm p°φpad∞ poΦφtaΦ infikuje a sna₧φ se najφt v Internetu dalÜφ servery bez zßplaty. Vzhledem k tomu, ₧e BlueCode vyu₧φvß pro svΘ Üφ°enφ daleko starÜφ dφru (Web Directory Traversal vulnerability) ne₧ RedCode, zdaleka neslavφ takov² ·sp∞ch, jako jeho Φerven² bratr. Zßplata je k dispozici na Internetu ji₧ delÜφ dobu (od konce minulΘho roku).
Mezi 10:00 a 11:00 se Φerv BlueCode sna₧φ äbombardovatô web-server www.nsfocus.com a tak ho vy°adit z provozu.
Na zßv∞r bych rßd uvedl, ₧e v ohro₧enφ jsou pouze n∞kterΘ (ty co nemajφ zßplatu) servery s nainstalovanou souΦßstφ IIS. Vzhledem k tomu, ₧e IIS m∙₧e b²t v provozu pouze pod OS MS Windows NT/2000, mohou b²t u₧ivatelΘ OS MS Win9x a WinME v klidu :)

[14.9.2001]

Win32/Magistr.B, novß varianta.

N∞kterΘ servery informujφ o novΘ variant∞ viru/Φerva Win32/Magistr.B. ZajφmavΘ je snad jen to, ₧e Win32/Magistr.B Üifruje p∙vodnφ obsah infikovan²ch soubor∙ podle ·daj∙ zφskan²ch p°φmo z infikovanΘho poΦφtaΦe. Dφky tomu je dezinfekce takto infikovan²ch soubor∙ daleko slo₧it∞jÜφ.

[14.9.2001]

Alwil je tu ji₧ deset let !!!

SpoleΦnost Alwil Software (www.asw.cz) uspo°ßdala 12.9 v pra₧skΘm hotelu Duo konferenci u p°φle₧itosti 10.let od zalo₧enφ. Na co se tedy m∙₧eme u Alwilu t∞Üit ?
V prvnφ °ad∞ je to Avast32 4.0. Mimo jinΘ p∙jde o ôgrafickou peckuö :) Auto°i toti₧ informovali o mo₧nosti vyu₧φvat tzv. ôskinyö, kterΘ umo₧nφ naprosto zm∞nit grafick² kabßt programu. Kdo znß program WinAMP, vφ, o Φem mluvφm :)
DalÜφ novinkou mß b²t Avast pro MS Proxy / ISA. Produkt filtruje veÜkerou komunikaci p°es HTTP a FTP a funguje jako ISAPI filtr.
Pak tu mßme Avast pro MS SMTP 2000. Vyu₧φt ho lze nap°. v nehomogennφch sφtφch, kde se PC s tφmto produktem äumφstφ p°edô skuteΦn² poÜtovnφ server. Sprßvn∞ nastaven²m routovßnφm lze zajistit, ₧e skuteΦn² poÜtovnφ server nikdy nezjistφ, co znamenß slovo ävirusô Φi äΦervô :) O vÜe se toti₧ postarß prßv∞ Avast pro MS SMTP 2000. Produkt lze pou₧φt i jako plug-in do MS Exchange 2000 pro ochranu SMTP provozu.
U₧ jsem to nakousnul :), tak₧e, b∞hem podzimu mß b²t k dispozici finßlnφ verze produktu Avast pro MS Exchange 2000. Tento produkt vyu₧φvß nov²ch mo₧nostφ Service Packu 1 pro MSE2000. Jak uvedli pracovnφci spoleΦnosti Alwil, nenφ SP1 jeÜt∞ to pravΘ o°echovΘ :(
Nem∞l bych zapomenout ani na projekt EpidemX v jeho₧ popisu se objevila i sekvence äheuristickß anal²zaô. To ·dajn∞ u firmy Grisoft (v²robce antiviru AVG) vyvolalo silnou vlnu smφchu, jeliko₧ Alwil nebyl nikdy zastßncem tΘto metody detekce. SystΘm EpidemX bude v budoucnu schopen na zßklad∞ prßv∞ heuristickΘ anal²zy odhalit neznßmΘ viry/Φervi putujφcφ p°es poÜtovnφ server.
K vid∞nφ byla i sφ¥ovß sprßva Avastu prost°ednictvφm WWW rozhranφ. Aby toho nebylo mßlo, na konferenci se objevilo i PC spoleΦnosti HP s 64-bitov²m procesorem Intel Italium na kterΘm samoz°ejm∞ b∞₧el Avast32 :) Priority v²voje dalÜφch produkt∙ byly stanoveny v tomto po°adφ: Windows XP 64-bit, Linux, Unix. Mßme se tedy na co t∞Üit. T∞Üit se mohou i n∞kte°φ Φtenß°i äIgiho strßnky o virechô, m∞ly by dorazit i n∞jakΘ ty fotky, pop°. äscreenshotyô zajφmav²ch obrazovek :)

[14.9.2001]

╚asopis Virus Bulletin (www.virusbtn.com) uve°ejnil v poslednφm Φφsle nov² srovnßvacφ test antivirov²ch produkt∙. Tentokrßt Ülo o antiviry pro platformu Novell Netware.
V²sledky najdete zde !!!.

[5.9.2001]

Nad∞jn² mladφk, Φerv I-Worm/Apost...

SpoleΦnost Grisoft (v²robce antiviru AVG) informuje o novΘm Φervu I-Worm/Apost, kter² se relativn∞ dob°e prosadil i na VirusEye.

Na zaΦßtku by mohlo staΦit, kdy₧ uvedu: vyhn∞te se e-mail∙m s p°edm∞tem (subjektem) "As per your request!" !!!

[1.9.2001]

Norton AntiVirus 2002

SpoleΦnost Symantec (www.symantec.com) vypustila do sv∞ta p°ed n∞kolika dny finßlnφ verzi antiviru Norton AntiVirus 2002. Nejv∞tÜφ novinkou je z°ejm∞ podpora operaΦnφho systΘmu MS Windows XP. Zajφmavostφ je i skuteΦnost, ₧e Norton AntiVirus 2002 pravd∞podobn∞ nenφ schopen provozu pod operaΦnφm systΘmem MS Windows 95. Pod nφm chodφ pouze p°edchozφ verze 2001.

[1.9.2001]

NOD32 IIS - Virus-blocker

Firma ESET (www.eset.sk), slovensk² v²robce AV systΘmu NOD32, uvedla aplikaci "NOD32 IIS - VirusBlocker". Jde o rezidentnφ filtr urΦen² pro poΦφtaΦe, na kter²ch b∞₧φ Microsoft Internet Information Server (IIS). Program kontroluje komununikaci p°es TCP/IP a chrßnφ tak poΦφtaΦ p°ed Φervem CodeRed. Samoz°ejm∞ chrßnφ i p°ed Φervi, kte°φ jsou zalo₧eny na stejnΘm principu. Ji₧ p°ed Φasem jsem informoval o filtru od spoleΦnosti Kaspersky. Filtr od Esetu je tak novou alternativou - ke sta₧enφ zde.

A jeÜt∞ jedna zprßva o Esetu: ╚lov∞k by se t∞Üil, ₧e po verzi NODu32 1.98 a 1.99 bude nßsledovat verze 2.0, mφsto toho spat°ila sv∞tlo sv∞ta verze 1.100 :)

[1.9.2001]

I-Worm/Cuervo, nad∞jn² Φervφk...

Kaspersky Lab. (www.kaspersky.com) informuje o novΘm Φervu I-Worm/Cuervo, kter² podobn∞ jako Φerv KakWorm vyu₧φvß "∩oury" Scriptlet.TypeLib. K aktivaci Φerva tak staΦφ pouhΘ otev°enφ infikovanΘho e-mailu (tj. p°eΦtenφ zprßvy !). Samoz°ejm∞ se Üφ°φ na dalÜφ e-mailovΘ adresy, zφskanΘ z MS Outlooku. Jinak nic zajφmavΘho :)

[1.9.2001]

Win2k/Ketamine, aneb Benny jeÜt∞ jednou...

A mßme tu dalÜφ Φesk² virus. Tentokrßt jde o velice krßtk² virus pro operaΦnφ systΘm MS Windows 2000. Virus nepou₧φvß ₧ßdnΘ API a mß slou₧it pouze jako d∙kaz toho, ₧e nic nenφ nemo₧nΘ. V praxi se s nφm pravd∞podobn∞ moc lidφ nesetkß... Virus Ketamine byl inspirovßn jin²m Φesk²m virem - Win2k/Joss. Jeho autorem je tentokrßt Ratter a vznik jeho dφla jsem pon∞kud zaspal :(

[1.9.2001]

Pozor na "Invalid SSL Certificate" !

N∞kterΘ servery informujφ o viru Win32/Invalid.A@mm. Pokud se rozÜφ°φ, budu o n∞m v budoucnu informovat podrobn∞ji. Zatφm snad bude staΦit, kdy₧ °eknu: vyhn∞te se e-mailovΘ zprßv∞ se subjektem "Invalid SSL Certificate", kterß je zaslanß z adresy "support@microsoft.com".

[1.9.2001]

Josef D₧ubßk se zlobφ na autora jednoho Φlßnku v Hospodß°sk²ch novinßch. Jß osobn∞ jsem nadmφru spokojen :) Autor Φlßnku "Experti varujφ: Viry nemajφ prßzdniny !" v t∞chto novinßch toti₧ oznaΦil jako autora n∞kter²ch citacφ Igora Hßka (ano, to jsem jß). Ve skuteΦnosti je prav²m autorem Josef D₧ubßk ze serveru hoax.cz... Jak jsem °ekl, jß osobn∞ jsem spokojen :)