V Úterý 15. dubna 2003 se v Národním domě na Vinohradech uskuteční další ročník konference SECURITY 2003 - www.security2003.cz. Odpolední program bude jako obvykle věnován virové problematice.
Ve 13:00 se představí významný host, Mr. Mikko Hypponen ze společnosti F-Secure Corporation. Po něm pak Mr. Tibor Bial - Virus Buster. Pak příjdou na řadu již klasické osobnosti :-) Petr Odehnal (Grisoft, AVG), Pavel Baudiš (Alwil, avast!), Miroslav Trnka (Eset, NOD32), Tomáš Vobruba (AEC) a v neposlední řadě i sám já, Igor Hák alias Igi :-)
Z celé akce samozřejmě přinesu reportáž, starší ročníky lze najít v rubrice UDÁLOSTI.
Kerio WinRoute Firewall 5
27.02.2003
Během včerejška byla na trh uvedena nová, již pátá verze routeru a firewallu (a nejen to) Kerio WinRoute Firewall 5 pro operační systém MS Windows. Jde tak především o záležitost pro správce sítí, ale to mi nezabrání v tom, abych uvedl alespoň jednu novinku, která při nejmenším potěší !
Kerio WinRoute Firewall 5 totiž přišel s vlastním systémem, který přímo na routeru kontroluje vnitřní a vnější HTTP a FTP komunikaci na výskyt virů. Kromě integrovaného antiviru McAfee podporuje Kerio WinRoute Firewall ještě celou řadu dalších antivirových aplikací. V této chvíli: AVG (Grisoft), NOD32 (Eset), eTrust (CAI), SAVI (Sophos). Kontrola je zajišťována pomocí jednoduchých "vsuvek" (plug-inu), takže lze v blízké budoucnosti očekávat nárůst podporovaných antivirů jako v případě Kerio Mail Serveru.
Klobouk dolů před novým WinRoutem 5.0, v téhle cenové relaci jen těžko seženeme něco lepšího !
Po světě se začal šířit nový virus Win32/LovGate.C. Následující informace jsou převzaty od spolehlivého zdroje - od Petra Odehnala ze společnosti Grisoft - www.grisoft.cz :-)
Je to cinskeho puvodu, posila se mailem a kopiruje se v ramci LAN.
Vlastni .EXE soubor viru je 78848 bajtu dlouhy.
Po spusteni si vytvori nekolik EXE souboru se svou kopii a nektere z nich
zaregistruje pro spousteni v
HKLM\Software\Microsoft\Windows\CurrentVersion\Run:
(Pozn. SYSTEM je nahrazen aktualni cestou do systemoveho adresare Windows)
Jednu svou kopii zaregistruje v HKCR\txtfile\shell\open\command jako
program urceny k otevirani textovych souboru: "winrpc.exe %1"
Puvodni nastaveni teto polozky nelze obnovit (virus je nikam neuklada),
takze je asi nejlepsi tam nastavit defaultni hodnotu:
"%SystemRoot%\system32\NOTEPAD.EXE %1"
Pod Win 9x take doplni do WIN.INI radek:
run=rpcsrv.exe
Krome toho vypusti (opet v nekolika kopiich) Backdoor.
Na adrese www.viry.cz/forum bylo zprovozněno nové diskuzní fórum ! Budu jen rád, když se dotazy, rady, odpovědi a ostatní záležitosti budou množit !
Antivirové systémy pronikají i do vtipů, svědčí o tom i tento obrázek. Odkaz se objevil v konference AVG-CZ.
Symantec & tiskové zprávy
18.02.2003
Společnost Symantec je známá díky kvalitním programům pana Nortona, včetně Nortonova Antiviru, ovšem její pověst kazí příšerné tiskové zprávy. V minulosti tyto "press-release" informovaly o nových "revolučních" vymoženostech, které již ostatní antiviry používaly i několik let. Před pár dny uveřejnil Symantec další nesmysl - tiskovou zprávu. Tentokrát propagovala "Symantec DeepSight Threat Management System", který dokázal údajně známého červa Slammer (viz. novinka z 26.1.2003) zaregistrovat několik hodin předtím, než se začal rapidně šířit. Problém je však v tom, že červ se začal rapidně šířit již během 10 minut od prvního náznaku existence. Svědčí o tom například tento rozbor.
Doporučení tedy zní: nečíst zprávy Symantecu.
Panda Antivirus Platinum 7 slovensky !
17.02.2003
Společnost proNETIX s r.o. uvedla na trh lokalizovanou verzi antivirového systému Panda Antivirus Platinum 7. Nejvetší novinkou od verze 6 je především zabudovaný osobní firewall, zabraňující nežádoucím průnikům z Internetu. Daleko detailnější popis bude uveden v chystané recenzi, zatím mohu doporučit přímo stránky www.pronetix.sk.
Nová velká záplata pro Internet Explorer 6.0 SP1
07.02.2003
Začátkem února byla uvedena další velká záplata pro Internet Explorer 6.0 SP1, která "zašpuntuje" veškeré dosud známé bezpečnostní díry.
Nejednodušší způsob aplikace záplaty je přes stránky windowsupdate.microsoft.com, kde se o vás postará průvodce.
Bližší informace o této poslední aktualizaci lze najít zde.
Srovnávací test antivirů...
04.02.2003
...byl uskutečněn v posledním čísle časopisu Virus Bulletin (www.virusbtn.com). Podmínkou pro získání ocenění "Virus Bulletin 100% Award" je, aby daný antivirus detekoval všechny v reálu se šířící viry (tj. viry "in the wild" - v divočině). Ocenění VB100% získaly antiviry, které jsou na této stránce uvedeny se statusem "PASS". Ostatní neuspěly i když obvykle jen těsně.
I tentokrát se našlo několik AV produktů, které detekovaly 100% virů nejen v kategorii "In the Wild", ale i ve všech ostatních "zoo" kategoriích (kde jsou často viry, které potkáme právě pouze ve sbírkách). Tentokrát to dokazal antivirus: Dr.Web, NOD32, Symantec AntiVirus, ale i neznámý Virus Chaser. Posledně jmenovaný využívá jádro Dr.Webu, takže se není čemu divit :-)
Kompletní výsledky mám bohužel zakázáno zveřejňovat přímo redakcí časopisu Virus Bulletin.
Červ Win32/Serotonin aneb další dílo z ČR...
03.02.2003
Osoba říkající si Benny/29a a žijící někde v Brně uvedl své nové dílo, červ Win32/Serotonin. Na červu pracoval jeden dlouhý rok a jako v předcházejících případech nejde o žádný propadák, nýbrž o trhák vzrušující především některé novináře (v tomto směru je Benny/29a známou osobností i pro zpravodajství CNN)
Červ Win32/Serotonin obsahuje řadu vymožeností:
V prvé řadě se nechal inspirovat biologií, přesněji Darwinovou teorií o prežití pouze toho nejsilnějšího či nejlepšího organismu. V počítačové podobě to Benny stvárnil tak, že kód viru rozdělil do dvou částí. Jedna je stálá a druhá obsahuje procedury (GENY) sloužící k vykonávání specifických činností. Během šíření červa dochází k jeho evoluci a tak nám červík mutuje. Některé procedury/geny ztrácí, nektěré naopak získává. Taktéž může vylepšovat ty stávající, popřípadě je shlukovat do větších celků. K získávání nových vlastností dochází prostřednictvím další vymoženosti - WormNET. Všichni jedinci červa bloudící po světě se totiž snaží navázat navzájem kontakt ve vlastní decentralizované síti WormNET. Pokud se najdou, může být vzájemný obchod s geny zahájen :-) Nemusí jit pouze o obchod mezi dvěma červy, ale i více, v závislosti na tom, s jakými dalšími jsou již oba v kontaktu z minulosti.
Další specialitou je infekce MSIL-PE-EXE souborů, vyskytujících se pod platformou Windows .NET a v neposlední řadě šíření elektronickou poštou. O šíření se opět starají jednotlivé geny. Jeden je věnován produktu MS Outlook, druhý MS Outlook Express a třetí pak vyhledávaním vhodných e-mailových adres - budoucích obětí. Nevím, co je na tom pravdy, ale údajně využívá dosud neopravenou chybu Outlook Expressu související s tagy v UTF-7 formátu. V neposlední řadě je tu i gen, zabíjející antivirové programy. Přesněji okna antivirových systémů v jejichž hlavičce se objevují tolik známé názvy...
Pro uklidnění na závěr bych snad mohl uvést, že jde nejde ani tak o hrozbu, jako spíše o technickou lahůdku !
Win32/SQLSlammer, další opravdový červ !!!
26.01.2003
Po světě se masově šíří nový červ se jménem Win32/SQLSlammer !!! Využívá bezpečnostní díry v aplikaci Microsoft SQL Server (databázový server) a je to jeho jediná cesta, kterou se šíří dál a dál. Jde o díru typu "přetečení zásobníku" (buffer overflow), kdy lidově řečeno MS SQL Server "zblbne" a spustí kód (v tomto případě červa), který by za normálních okolností nikdy nespustil. Bezpečnostní díra byla objevena v květnu 2002 a za nedlouho byla vydána i bezpečnostní záplata. Bohužel, většina nevěnuje bezpečnostním záplatám pozornost a tak se nový červ Win32/SQLSlammer vesele šíří.
Záplata je obsažena i v Service Packu 3 - www.microsoft.com/sql/downloads/2000/sp3.asp.
Na server se červ dostane přes porty 1433 a 1434. Pokud není instalován SP3 popřípadě zápata, vhodným paketem UDP na portě 1434 dojde k aktivaci škodlivého kódu. Červ se usadí v paměti a začně bombardovat náhodně vybranou IP adresu dalšími pakety a doufat, že na "druhém konci" narazí na další MS SQL Server s dírou. To se neustále opakuje, tj. jde o masivní DDoS útok. Napadený server je schopen kompletně zahltit přístupové linky.
Po "rudém kódu" ala Code Red tu máme dalšího plnohodnotného červa, o kterém se asi jen tak nepřestane psát.
Na závěr některé důležité poznatky:
Jelikož se tento červ nachází pouze v paměti počítače, běžný antivirus ho nedokáže detekovat (žádný infikovaný soubor). Antivirový software na serveru tak tohoto červa neodhalí !!!
Běžní domácí uživatelé nemusí mít strach, protože Microsoft SQL Server není běžnou záležitostí :-)
Červu se lze bránit (nepočítam-li instalaci záplaty či SP3) i vhodným blokováním portů 1433 a 1434 (TCP i UDP) na firewallu.
