Igiho strßnka o virech

Novinky

1.Pomoc

Forum (novΘ!)

AV-konference

Kniha o virech

Recenze

Odkazy

Udßlosti

Autor & Zdroje

igi@viry.cz
ICQ: 29310272

Konference SECURITY 2003

28.02.2003

V ┌ter² 15. dubna 2003 se v Nßrodnφm dom∞ na Vinohradech uskuteΦnφ dalÜφ roΦnφk konference SECURITY 2003 - www.security2003.cz. Odpolednφ program bude jako obvykle v∞novßn virovΘ problematice.

Ve 13:00 se p°edstavφ v²znamn² host, Mr. Mikko Hypponen ze spoleΦnosti F-Secure Corporation. Po n∞m pak Mr. Tibor Bial - Virus Buster. Pak p°φjdou na °adu ji₧ klasickΘ osobnosti :-) Petr Odehnal (Grisoft, AVG), Pavel BaudiÜ (Alwil, avast!), Miroslav Trnka (Eset, NOD32), TomßÜ Vobruba (AEC) a v neposlednφ °ad∞ i sßm jß, Igor Hßk alias Igi :-)

Podrobn² program lze najφt na t∞chto strßnkßch. P°ihlßÜku lze podat tady.

Z celΘ akce samoz°ejm∞ p°inesu reportß₧, starÜφ roΦnφky lze najφt v rubrice UD┴LOSTI.

Kerio WinRoute Firewall 5

27.02.2003

B∞hem vΦerejÜka byla na trh uvedena novß, ji₧ pßtß verze routeru a firewallu (a nejen to) Kerio WinRoute Firewall 5 pro operaΦnφ systΘm MS Windows. Jde tak p°edevÜφm o zßle₧itost pro sprßvce sφtφ, ale to mi nezabrßnφ v tom, abych uvedl alespo≥ jednu novinku, kterß p°i nejmenÜφm pot∞Üφ !

Kerio WinRoute Firewall 5 toti₧ p°iÜel s vlastnφm systΘmem, kter² p°φmo na routeru kontroluje vnit°nφ a vn∞jÜφ HTTP a FTP komunikaci na v²skyt vir∙. Krom∞ integrovanΘho antiviru McAfee podporuje Kerio WinRoute Firewall jeÜt∞ celou °adu dalÜφch antivirov²ch aplikacφ. V tΘto chvφli: AVG (Grisoft), NOD32 (Eset), eTrust (CAI), SAVI (Sophos). Kontrola je zajiÜ¥ovßna pomocφ jednoduch²ch "vsuvek" (plug-inu), tak₧e lze v blφzkΘ budoucnosti oΦekßvat nßr∙st podporovan²ch antivir∙ jako v p°φpad∞ Kerio Mail Serveru.

Klobouk dol∙ p°ed nov²m WinRoutem 5.0, v tΘhle cenovΘ relaci jen t∞₧ko se₧eneme n∞co lepÜφho !

Bli₧Üφ informace na www.kerio.cz.

èφ°φcφ se novinka - virus Win32/LovGate.C

24.02.2003

Po sv∞t∞ se zaΦal Üφ°it nov² virus Win32/LovGate.C. Nßsledujφcφ informace jsou p°evzaty od spolehlivΘho zdroje - od Petra Odehnala ze spoleΦnosti Grisoft - www.grisoft.cz :-)

Je to cinskeho puvodu, posila se mailem a kopiruje se v ramci LAN. Vlastni .EXE soubor viru je 78848 bajtu dlouhy.

Po spusteni si vytvori nekolik EXE souboru se svou kopii a nektere z nich zaregistruje pro spousteni v HKLM\Software\Microsoft\Windows\CurrentVersion\Run:

klic: "syshelp" hodnota: "SYSTEM\syshelp.exe"

klic: "WinGate initialize" hodnota: "SYSTEM\System32\WinGate.exe -remoteshell"

klic: "Module Call initialize" hodnota: "RUNDLL32.EXE reg.dll ondll_reg"

(Pozn. SYSTEM je nahrazen aktualni cestou do systemoveho adresare Windows)

Jednu svou kopii zaregistruje v HKCR\txtfile\shell\open\command jako program urceny k otevirani textovych souboru: "winrpc.exe %1"

Puvodni nastaveni teto polozky nelze obnovit (virus je nikam neuklada), takze je asi nejlepsi tam nastavit defaultni hodnotu: "%SystemRoot%\system32\NOTEPAD.EXE %1"

Pod Win 9x take doplni do WIN.INI radek: run=rpcsrv.exe

Krome toho vypusti (opet v nekolika kopiich) Backdoor.

Jedno·Φelov² antivirus lze stßhnout odsud !

N∞jakß ta novinka...	19.02.2003
Na adrese www.viry.cz/forum bylo zprovozn∞no novΘ diskuznφ f≤rum ! Budu jen rßd, kdy₧ se dotazy, rady, odpov∞di a ostatnφ zßle₧itosti budou mno₧it ! AntivirovΘ systΘmy pronikajφ i do vtip∙, sv∞dΦφ o tom i tento obrßzek. Odkaz se objevil v konference AVG-CZ.

Symantec & tiskovΘ zprßvy

18.02.2003

SpoleΦnost Symantec je znßmß dφky kvalitnφm program∙m pana Nortona, vΦetn∞ Nortonova Antiviru, ovÜem jejφ pov∞st kazφ p°φÜernΘ tiskovΘ zprßvy. V minulosti tyto "press-release" informovaly o nov²ch "revoluΦnφch" vymo₧enostech, kterΘ ji₧ ostatnφ antiviry pou₧φvaly i n∞kolik let. P°ed pßr dny uve°ejnil Symantec dalÜφ nesmysl - tiskovou zprßvu. Tentokrßt propagovala "Symantec DeepSight Threat Management System", kter² dokßzal ·dajn∞ znßmΘho Φerva Slammer (viz. novinka z 26.1.2003) zaregistrovat n∞kolik hodin p°edtφm, ne₧ se zaΦal rapidn∞ Üφ°it. ProblΘm je vÜak v tom, ₧e Φerv se zaΦal rapidn∞ Üφ°it ji₧ b∞hem 10 minut od prvnφho nßznaku existence. Sv∞dΦφ o tom nap°φklad tento rozbor.

DoporuΦenφ tedy znφ: neΦφst zprßvy Symantecu.

Panda Antivirus Platinum 7 slovensky !	17.02.2003
SpoleΦnost proNETIX s r.o. uvedla na trh lokalizovanou verzi antivirovΘho systΘmu Panda Antivirus Platinum 7. NejvetÜφ novinkou od verze 6 je p°edevÜφm zabudovan² osobnφ firewall, zabra≥ujφcφ ne₧ßdoucφm pr∙nik∙m z Internetu. Daleko detailn∞jÜφ popis bude uveden v chystanΘ recenzi, zatφm mohu doporuΦit p°φmo strßnky www.pronetix.sk.

Novß velkß zßplata pro Internet Explorer 6.0 SP1

07.02.2003

ZaΦßtkem ·nora byla uvedena dalÜφ velkß zßplata pro Internet Explorer 6.0 SP1, kterß "zaÜpuntuje" veÜkerΘ dosud znßmΘ bezpeΦnostnφ dφry.

NejednoduÜÜφ zp∙sob aplikace zßplaty je p°es strßnky windowsupdate.microsoft.com, kde se o vßs postarß pr∙vodce.

Bli₧Üφ informace o tΘto poslednφ aktualizaci lze najφt zde.

Srovnßvacφ test antivir∙...

04.02.2003

...byl uskuteΦn∞n v poslednφm Φφsle Φasopisu Virus Bulletin (www.virusbtn.com). Podmφnkou pro zφskßnφ ocen∞nφ "Virus Bulletin 100% Award" je, aby dan² antivirus detekoval vÜechny v reßlu se Üφ°φcφ viry (tj. viry "in the wild" - v divoΦin∞). Ocen∞nφ VB100% zφskaly antiviry, kterΘ jsou na tΘto strßnce uvedeny se statusem "PASS". Ostatnφ neusp∞ly i kdy₧ obvykle jen t∞sn∞.

I tentokrßt se naÜlo n∞kolik AV produkt∙, kterΘ detekovaly 100% vir∙ nejen v kategorii "In the Wild", ale i ve vÜech ostatnφch "zoo" kategoriφch (kde jsou Φasto viry, kterΘ potkßme prßv∞ pouze ve sbφrkßch). Tentokrßt to dokazal antivirus: Dr.Web, NOD32, Symantec AntiVirus, ale i neznßm² Virus Chaser. Posledn∞ jmenovan² vyu₧φvß jßdro Dr.Webu, tak₧e se nenφ Φemu divit :-)

Kompletnφ v²sledky mßm bohu₧el zakßzßno zve°ej≥ovat p°φmo redakcφ Φasopisu Virus Bulletin.

╚erv Win32/Serotonin aneb dalÜφ dφlo z ╚R...

03.02.2003

Osoba °φkajφcφ si Benny/29a a ₧ijφcφ n∞kde v Brn∞ uvedl svΘ novΘ dφlo, Φerv Win32/Serotonin. Na Φervu pracoval jeden dlouh² rok a jako v p°edchßzejφcφch p°φpadech nejde o ₧ßdn² propadßk, n²br₧ o trhßk vzruÜujφcφ p°edevÜφm n∞kterΘ novinß°e (v tomto sm∞ru je Benny/29a znßmou osobnostφ i pro zpravodajstvφ CNN)

╚erv Win32/Serotonin obsahuje °adu vymo₧enostφ:

V prvΘ °ad∞ se nechal inspirovat biologiφ, p°esn∞ji Darwinovou teoriφ o pre₧itφ pouze toho nejsiln∞jÜφho Φi nejlepÜφho organismu. V poΦφtaΦovΘ podob∞ to Benny stvßrnil tak, ₧e k≤d viru rozd∞lil do dvou Φßstφ. Jedna je stßlß a druhß obsahuje procedury (GENY) slou₧φcφ k vykonßvßnφ specifick²ch Φinnostφ. B∞hem Üφ°enφ Φerva dochßzφ k jeho evoluci a tak nßm Φervφk mutuje. N∞kterΘ procedury/geny ztrßcφ, nekt∞rΘ naopak zφskßvß. TaktΘ₧ m∙₧e vylepÜovat ty stßvajφcφ, pop°φpad∞ je shlukovat do v∞tÜφch celk∙. K zφskßvßnφ nov²ch vlastnostφ dochßzφ prost°ednictvφm dalÜφ vymo₧enosti - WormNET. VÜichni jedinci Φerva bloudφcφ po sv∞t∞ se toti₧ sna₧φ navßzat navzßjem kontakt ve vlastnφ decentralizovanΘ sφti WormNET. Pokud se najdou, m∙₧e b²t vzßjemn² obchod s geny zahßjen :-) Nemusφ jit pouze o obchod mezi dv∞ma Φervy, ale i vφce, v zßvislosti na tom, s jak²mi dalÜφmi jsou ji₧ oba v kontaktu z minulosti.

DalÜφ specialitou je infekce MSIL-PE-EXE soubor∙, vyskytujφcφch se pod platformou Windows .NET a v neposlednφ °ad∞ Üφ°enφ elektronickou poÜtou. O Üφ°enφ se op∞t starajφ jednotlivΘ geny. Jeden je v∞novßn produktu MS Outlook, druh² MS Outlook Express a t°etφ pak vyhledßvanφm vhodn²ch e-mailov²ch adres - budoucφch ob∞tφ. Nevφm, co je na tom pravdy, ale ·dajn∞ vyu₧φvß dosud neopravenou chybu Outlook Expressu souvisejφcφ s tagy v UTF-7 formßtu. V neposlednφ °ad∞ je tu i gen, zabφjejφcφ antivirovΘ programy. P°esn∞ji okna antivirov²ch systΘm∙ v jejich₧ hlaviΦce se objevujφ tolik znßmΘ nßzvy...

Pro uklidn∞nφ na zßv∞r bych snad mohl uvΘst, ₧e jde nejde ani tak o hrozbu, jako spφÜe o technickou lah∙dku !

Win32/SQLSlammer, dalÜφ opravdov² Φerv !!!

26.01.2003

Po sv∞t∞ se masov∞ Üφ°φ nov² Φerv se jmΘnem Win32/SQLSlammer !!! Vyu₧φvß bezpeΦnostnφ dφry v aplikaci Microsoft SQL Server (databßzov² server) a je to jeho jedinß cesta, kterou se Üφ°φ dßl a dßl. Jde o dφru typu "p°eteΦenφ zßsobnφku" (buffer overflow), kdy lidov∞ °eΦeno MS SQL Server "zblbne" a spustφ k≤d (v tomto p°φpad∞ Φerva), kter² by za normßlnφch okolnostφ nikdy nespustil. BezpeΦnostnφ dφra byla objevena v kv∞tnu 2002 a za nedlouho byla vydßna i bezpeΦnostnφ zßplata. Bohu₧el, v∞tÜina nev∞nuje bezpeΦnostnφm zßplatßm pozornost a tak se nov² Φerv Win32/SQLSlammer vesele Üφ°φ.
Zßplata je obsa₧ena i v Service Packu 3 - www.microsoft.com/sql/downloads/2000/sp3.asp.

Na server se Φerv dostane p°es porty 1433 a 1434. Pokud nenφ instalovßn SP3 pop°φpad∞ zßpata, vhodn²m paketem UDP na port∞ 1434 dojde k aktivaci ÜkodlivΘho k≤du. ╚erv se usadφ v pam∞ti a zaΦn∞ bombardovat nßhodn∞ vybranou IP adresu dalÜφmi pakety a doufat, ₧e na "druhΘm konci" narazφ na dalÜφ MS SQL Server s dφrou. To se neustßle opakuje, tj. jde o masivnφ DDoS ·tok. Napaden² server je schopen kompletn∞ zahltit p°φstupovΘ linky.

Po "rudΘm k≤du" ala Code Red tu mßme dalÜφho plnohodnotnΘho Φerva, o kterΘm se asi jen tak nep°estane psßt.

Na zßv∞r n∞kterΘ d∙le₧itΘ poznatky:

Jeliko₧ se tento Φerv nachßzφ pouze v pam∞ti poΦφtaΦe, b∞₧n² antivirus ho nedokß₧e detekovat (₧ßdn² infikovan² soubor). Antivirov² software na serveru tak tohoto Φerva neodhalφ !!!

B∞₧nφ domßcφ u₧ivatelΘ nemusφ mφt strach, proto₧e Microsoft SQL Server nenφ b∞₧nou zßle₧itostφ :-)

╚ervu se lze brßnit (nepoΦφtam-li instalaci zßplaty Φi SP3) i vhodn²m blokovßnφm port∙ 1433 a 1434 (TCP i UDP) na firewallu.

Archiv novinek