[27.9.2001]

Největší antivirová událost ČR začala právě dnes !!!

Právě dnes začal 11. ročník mezinárodní antivirové konference Virus Bulletin (www.virusbtn.com), která se poprvé v historii koná i v České Republice (Praha - Hotel Hilton).
Konference se zúčastní více než 220 delegátů, kteří mohou vyslechnout více než 40 příspěvků odborníků z celého světa (Symantec, NAI, Kaspersky...). Vlastní program je rozdělen do dvou proudů: technického (technologické aspekty virů a boje proti nim) a praktického (vlastní ochrana podnikových informačních systémů).
Součástí konference je i výstava antivirových řešení deseti předních světových firem. Jediným českým zástupcem na této přehlídce je firma ALWIL Software, která předvede svůj antivirový systém avast! v síti obsahující mimo jiné počítač HP Server RX4610. Tento počítač obsahuje čtyři procesory Itanium IA-64, na nichž poběží 64-bitový operační systém Windows.NET Advanced Server.

Fotky dodám později. Zatím alespoň mini-obrázek hotelu Hilton (foto: Pavel Baudiš, Alwil software). Pokud by se našel někdo, ochotný napsat reportáž z této akce, nechť se ozve na igi@viry.cz. Prostě jsem neměl po ruce přibližně 1000 liber za vstupné :(

[20.9.2001]

!!! Virus Win32/Nimda.A ještě jednou !!!

Grisoft software (výrobce antiviru AVG) vydal kromě popisu (www.avg.cz/news/nimda.htm) i utilitu na odstranění této bestie (virus Win32/Nimda.A). Je nutné postupovat takto (část článku od Grisoftu):

[19.9.2001]

!!! Virus Win32/Nimda.A se šíří světem !!!

Vzhledem k tomu, že popis této horké novinky, viru Win32/Nimda.A byl na stránkách společnosti Alwil Software (www.asw.cz) tak dokonalý, ani jsem se ho nepokoušel napsat sám :) Následuje tedy popis podle společnosti Alwil Software, výrobce antiviru Avast:

Win32/Nimda je velmi komplikovaným Internetovým virem. Přichází ve formě přílohy zprávy elektronické pošty pod jménem README.EXE. taková zpráva neobsahuje žádný text a její předmět je buď prázdný nebo obsahuje náhodně vybrané jméno souboru. Virus využívá bezpečnostní díru starších verzí programu MS-Outlook a Outlook Express: příloha může být spuštěna pouhým prohlížením zprávy v náhledovém okně. Tento virus je schopen pracovat pod všemi verzemi operačního systému Windows.

Po svém spuštění se virus zkopíruje do systémového adresáře Windows pod jmény LOAD.EXE a RICHED20.DLL (originální soubory jsou přepsány, pokud existují) Tyto soubory mají nastaveny atributy system a hidden. Virus modifikuje také soubor SYSTEM.INI a přidáním následujícího řádku zajistí svoje spuštění při každém startu počítače:

[boot]
shell=explorer.exe load.exe -dontrunold

Pak virus vyhledává emailové adresy dalších obětí: kromě standardních způsobů (Outlook, Exchange) také prohledává soubory .HTM a .HTML.

Virus je také schopen se šířit po sdílených discích v lokální síti. Vytváří soubory .EML a .NWS ve všech adresářích, ke kterým má právo zápisu. Tyto soubory obsahují speciální MIME formu viru, která může být otevřena programem Outlook. Virus též vyhledává stránky HTML a ASP na vzdáleném počítači a pokud nějaké nalezne, vytvoří soubor  README.EML a na konec webové stránky přidá krátký program v Javascriptu, který při prohlížení dané stránky otevře soubor README.EML. Virus také otevírá všechny lokální disky pro sdílení po lokální síti.

Virus kontaktuje počítače na náhodných IP adresách a zjišťuje, zda se nejedná o IIS web server, který obsahuje bezpečnostní díru známou jako Unicode vulnerability (ta byla využívána i wormem CodeBlue). Snaží se i zjistit zadní vrátka, otevřená wormem  Win32/CodeRed.C. Pokud takový server nalezne, hledá na něm soubory typu HTML/ASP, které pak modifikuje výše popsaným způsobem. Napadené servery pak mohou zobrazit stránku, která uživatele vybízí ke stažení a otevření EML souboru, který obsahuje virus jako přílohu. Virus je schopen ve formě emailu proniknout i firewallem a infikovat kompletní intranetové sítě.

Virus také přidává uživatele GUEST do skupiny Administrators, takže má pak tento uživatel plnou kontrolu nad počítačem. Také modifikuje klíče v registry tak, že jsou skryta standardní rozšíření souboru.
Virus obsahuje následující text:

Concept Virus (CV) V.5, Copyright (C) 2001 R.P.China

Všichni uživatelé, kteří používají Microsoft Internet Explorer (ver 5.01 - 5.5 bez SP2) by měli co nejdříve instalovat Microsoft patch pro Incorrect MIME Header. Všichni uživatelé provozujícíMS IIS web server by měli co nejdříve instalovat  Microsoft IIS souhrný patch ze dne 15. srpna 2001.

Odstranění:

• smažte příslušnou řádku v souboru SYSTEM.INI a přestartujte počítač
• smažte všechny napadené soubory (původní soubory, které byly virem přepsány, je nutno obnovit ze záložní kopie)
• smažte všechny EML soubory, vytvořené virem
• zkontrolujte všechny soubory HTML/ASP zda neobsahují část viru vytvořenou v Javascriptu
• zkontrolujte, zda je uživatel GUEST členem skupiny ADMINITRATORS a pokud ano, zrušte toto členství
• zkontrolujte nastavení sdílení lokálních disků
• nainstalujte záplaty od Microsoftu, zmíněné výše

[19.9.2001]

Pozor na README.EXE !!!

Pokud Vám elektronickou poštou přijde soubor README.EXE, věřte tomu, že jde s největší pravděpodobností o virus Win32/Nimda.A ! Ten se právě dnes začal rychle šířit.
Podrobnější informace přinesu později, stejně jako o novém výtvoru od Bennyho/29A :)

[14.9.2001]

Před nedávnem spatřil světlo světa červ BlueCode…

Podobně jako RedCode využívá i tento červ „díru“ v aplikaci Microsoft Internet Information Server (IIS). Pokud není tato díra ošetřena příslušnou záplatou (patch), má červ zelenou. V takovém případě počítač infikuje a snaží se najít v Internetu další servery bez záplaty. Vzhledem k tomu, že BlueCode využívá pro své šíření daleko starší díru (Web Directory Traversal vulnerability) než RedCode, zdaleka neslaví takový úspěch, jako jeho červený bratr. Záplata je k dispozici na Internetu již delší dobu (od konce minulého roku).
Mezi 10:00 a 11:00 se červ BlueCode snaží „bombardovat“ web-server www.nsfocus.com a tak ho vyřadit z provozu.
Na závěr bych rád uvedl, že v ohrožení jsou pouze některé (ty co nemají záplatu) servery s nainstalovanou součástí IIS. Vzhledem k tomu, že IIS může být v provozu pouze pod OS MS Windows NT/2000, mohou být uživatelé OS MS Win9x a WinME v klidu :)

[14.9.2001]

Win32/Magistr.B, nová varianta.

Některé servery informují o nové variantě viru/červa Win32/Magistr.B. Zajímavé je snad jen to, že Win32/Magistr.B šifruje původní obsah infikovaných souborů podle údajů získaných přímo z infikovaného počítače. Díky tomu je dezinfekce takto infikovaných souborů daleko složitější.

[14.9.2001]

Alwil je tu již deset let !!!

Společnost Alwil Software (www.asw.cz) uspořádala 12.9 v pražském hotelu Duo konferenci u příležitosti 10.let od založení. Na co se tedy můžeme u Alwilu těšit ?
V první řadě je to Avast32 4.0. Mimo jiné půjde o “grafickou pecku” :) Autoři totiž informovali o možnosti využívat tzv. “skiny”, které umožní naprosto změnit grafický kabát programu. Kdo zná program WinAMP, ví, o čem mluvím :)
Další novinkou má být Avast pro MS Proxy / ISA. Produkt filtruje veškerou komunikaci přes HTTP a FTP a funguje jako ISAPI filtr.
Pak tu máme Avast pro MS SMTP 2000. Využít ho lze např. v nehomogenních sítích, kde se PC s tímto produktem „umístí před“ skutečný poštovní server. Správně nastaveným routováním lze zajistit, že skutečný poštovní server nikdy nezjistí, co znamená slovo „virus“ či „červ“ :) O vše se totiž postará právě Avast pro MS SMTP 2000. Produkt lze použít i jako plug-in do MS Exchange 2000 pro ochranu SMTP provozu.
Už jsem to nakousnul :), takže, během podzimu má být k dispozici finální verze produktu Avast pro MS Exchange 2000. Tento produkt využívá nových možností Service Packu 1 pro MSE2000. Jak uvedli pracovníci společnosti Alwil, není SP1 ještě to pravé ořechové :(
Neměl bych zapomenout ani na projekt EpidemX v jehož popisu se objevila i sekvence „heuristická analýza“. To údajně u firmy Grisoft (výrobce antiviru AVG) vyvolalo silnou vlnu smíchu, jelikož Alwil nebyl nikdy zastáncem této metody detekce. Systém EpidemX bude v budoucnu schopen na základě právě heuristické analýzy odhalit neznámé viry/červi putující přes poštovní server.
K vidění byla i síťová správa Avastu prostřednictvím WWW rozhraní. Aby toho nebylo málo, na konferenci se objevilo i PC společnosti HP s 64-bitovým procesorem Intel Italium na kterém samozřejmě běžel Avast32 :) Priority vývoje dalších produktů byly stanoveny v tomto pořadí: Windows XP 64-bit, Linux, Unix. Máme se tedy na co těšit. Těšit se mohou i někteří čtenáři „Igiho stránky o virech“, měly by dorazit i nějaké ty fotky, popř. „screenshoty“ zajímavých obrazovek :)

[14.9.2001]

Časopis Virus Bulletin (www.virusbtn.com) uveřejnil v posledním čísle nový srovnávací test antivirových produktů. Tentokrát šlo o antiviry pro platformu Novell Netware.
Výsledky najdete zde !!!.

[5.9.2001]

Nadějný mladík, červ I-Worm/Apost...

Společnost Grisoft (výrobce antiviru AVG) informuje o novém červu I-Worm/Apost, který se relativně dobře prosadil i na VirusEye.

Na začátku by mohlo stačit, když uvedu: vyhněte se e-mailům s předmětem (subjektem) "As per your request!" !!!

[1.9.2001]

Norton AntiVirus 2002

Společnost Symantec (www.symantec.com) vypustila do světa před několika dny finální verzi antiviru Norton AntiVirus 2002. Největší novinkou je zřejmě podpora operačního systému MS Windows XP. Zajímavostí je i skutečnost, že Norton AntiVirus 2002 pravděpodobně není schopen provozu pod operačním systémem MS Windows 95. Pod ním chodí pouze předchozí verze 2001.

[1.9.2001]

NOD32 IIS - Virus-blocker

Firma ESET (www.eset.sk), slovenský výrobce AV systému NOD32, uvedla aplikaci "NOD32 IIS - VirusBlocker". Jde o rezidentní filtr určený pro počítače, na kterých běží Microsoft Internet Information Server (IIS). Program kontroluje komununikaci přes TCP/IP a chrání tak počítač před červem CodeRed. Samozřejmě chrání i před červi, kteří jsou založeny na stejném principu. Již před časem jsem informoval o filtru od společnosti Kaspersky. Filtr od Esetu je tak novou alternativou - ke stažení zde.

A ještě jedna zpráva o Esetu: Člověk by se těšil, že po verzi NODu32 1.98 a 1.99 bude následovat verze 2.0, místo toho spatřila světlo světa verze 1.100 :)

[1.9.2001]

I-Worm/Cuervo, nadějný červík...

Kaspersky Lab. (www.kaspersky.com) informuje o novém červu I-Worm/Cuervo, který podobně jako červ KakWorm využívá "ďoury" Scriptlet.TypeLib. K aktivaci červa tak stačí pouhé otevření infikovaného e-mailu (tj. přečtení zprávy !). Samozřejmě se šíří na další e-mailové adresy, získané z MS Outlooku. Jinak nic zajímavého :)

[1.9.2001]

Win2k/Ketamine, aneb Benny ještě jednou...

A máme tu další český virus. Tentokrát jde o velice krátký virus pro operační systém MS Windows 2000. Virus nepoužívá žádné API a má sloužit pouze jako důkaz toho, že nic není nemožné. V praxi se s ním pravděpodobně moc lidí nesetká... Virus Ketamine byl inspirován jiným českým virem - Win2k/Joss. Jeho autorem je tentokrát Ratter a vznik jeho díla jsem poněkud zaspal :(

[1.9.2001]

Pozor na "Invalid SSL Certificate" !

Některé servery informují o viru Win32/Invalid.A@mm. Pokud se rozšíří, budu o něm v budoucnu informovat podrobněji. Zatím snad bude stačit, když řeknu: vyhněte se e-mailové zprávě se subjektem "Invalid SSL Certificate", která je zaslaná z adresy "support@microsoft.com".

[1.9.2001]

Josef Džubák se zlobí na autora jednoho článku v Hospodářských novinách. Já osobně jsem nadmíru spokojen :) Autor článku "Experti varují: Viry nemají prázdniny !" v těchto novinách totiž označil jako autora některých citací Igora Háka (ano, to jsem já). Ve skutečnosti je pravým autorem Josef Džubák ze serveru hoax.cz... Jak jsem řekl, já osobně jsem spokojen :)