Aktuální virové, bezpečnostní a jiné (subjektivně) významné informace
Tato stránka je věnována hlavně virovým, bezpečnostním a jiným (subjektivně) významným aktualitám.
Byla odštěpena od předchozí verze stránek aktualit, aby v ní nezanikaly důležité provozní aktuality ...
Bude se asi časem sama poněkud měnit...
Bezpečnostní aktuality za rok 2005 po jednotlivých měsících:
01 02
03 04
05 06
07 08
09 10
.
Běžné aktuality (zprávy, události - jiné než bezpečnostní )
naleznete zde.
Pro zájemce je k nahlédnutí archiv starších virovych, bezpečnostních
a jiných subjektivně významných
aktualit za rok 2004.
Rekapitulace starších zpráv a přehled událostí v roce 2004,
2003.
Nová bezpečnostní laboratoř
[31.5.2005 15:40] V deníčku
F-Secure jsou uvedeny záběry ze slavnostního otevření nové firemní bezpečnostní laboratoře
ve Finsku. Hlavní projev měl známý bezpečnostní odborník Bruce Schneier.
→The Grand opening!
Chyby ovladačů
[30.5.2005 17:30] Robert Lemos (SecurityFocus) se v článku
Device drivers filled with flaws,
threaten security zabývá dalším zdrojem problémů - tentokrát jde o ovladače, které jsou často
na vedlejší koleji jak po stránce zkušeností jejich programátorů, tak testování a představují
proto další bezpečnostní hrozbu.
Igi komentuje
[30.5.2005 16:20] současnou situaci kolem rodinky virů Mytob
→Rodinka virů Win32/Mytob
(viz také např. dřívější aktualita).
Obměna IM malvare
[30.5.2005 11:10] Roel (Kaspersky Lab) se zabývá vývojem v oblasti IM
malware. Jedna z nových technik používaných IRC boty šířícími se přes AOL je že
boty obsahují text který vzdálený škůdce spojí s html odkazem. Uživatel pak dostane větu doplněnou
odkazem; takových vět je široký výběr. Další, která byla zjištěna u nové verze
Bropia.ad, je kopírování sebe sama pod různými jmény do sdílených adresářů v
P2P sítích. →IM malware diversifying
[30.5.2005 11:00] ISC SANS se zmiňuje o situaci v Izraeli, kde řada firem
padla za oběť průmyslové špionáži provedené na zakázku napsanými trojany. Více info naleznete v
citovaném článku v Jerusalem Post. →Trojans for industrial espionage
Největší hrozby
[27.5.2005 16:20] Ivo Mareček (Živě) podrobně rozebírá asi měsíc starou
zprávu AVERT týmu McAfee (viz dřívější aktualita).
→Co nám hrozí nejvíce?
ZombieMeter
[27.5.2005 15:30] Otakar Schön (Živě) informuje o nové aplikaci firmy CipherTrust
pojmenované ZombieMeter pomocí níž získávají statistiky o nově napadených strojích. Uvádí
i některé výsledky: během května zjistili průměrně 170000 nových zombií denně; nejvíce jich
pochází z EU (26%), USA (20%), Číny (15%), Jižní Korey (10%); zbytek první desítky má už jen
jednociferný příspěvek: Německo (6%), Francie (6%), Brazilie (5%), Japonsko (4%), Velká Britanie
(3%), Španělsko (3%), Tajvan (2%). →Nejvíce nových zombií získávají zlí hoši v Evropské Unii. Více podrobností
→CipherTrust's ZombieMeter
Witty vloni
[27.5.2005 9:20] ICS SANS se zmiňuje o statistických analyzách červa
Witty z loňského března Outwitting the Witty Worm a teorii o původu červa
Witty worm flaws reveal source,
initial targets →Extensive statistical analysis of last year's Witty worm.
Z PC na Mac
[26.5.2005 18:50] Slashdot informuje o přechodu bezpečnostního specialisty
Winna Schwartaua a jeho firmy z PCček na Macy.
→Mad as Hell, Switching to Mac
V článku Winn Schwartau říká: "Je to můj první
sloupek psaný na Macu - vůbec první. Asi jsem to měl udělat už dávno, nikdy jsem ale neříkal
že jsem chytrý, jen umíněný. Byl jsem bigotní PCčkař. Teď už toho mám ale dost. Jsem [z toho]
po čertech šílený a už to víc neberu.[1] Mimo stručného líčení důvodů které ho dovedly k přechodu
z PCček na Macy i přechodu samého také uvádí příčiny proč je platforma WinTel odsouzena
k selhání - přílišná složitost, velké změny při nových verzích OS nebo servisních balících,
různé verze BIOSu, nepořádně napsané aplikace, jen částečně kompatibilní hw. Potřebujeme jednoduchý
OS vyhovující potřebám většiny lidí kteří si koupí PC pro denní práci. Zbavte se složitostí a
zjednodušte mezičlánky mezi OSem, BIOSem a hw. Protože takový jednoduchý OS zatím neexistuje,
odešli jsme od Wintelu. V méně než dvou dnech jsme přešli na Macy.
[1] (This is my first column written on a Mac - ever. Maybe I should have done it a long
time ago, but I never said I was smart, just obstinate. I was a PC bigot. But now, I've had it.
I'm mad as hell and I'm not going to take it anymore.)"
Kampaň proti zombiím
[26.5.2005 8:40] Otakar Schön (Živě):
20 zemí spouští kampaň proti zombiím
Pravá Windows?
[26.5.2005 8:40] Otakar Schön (Živě):
Bezpečnostní expert našel způsob jak obejít kontrolu pravosti Windows.
David Perry
[26.5.2005 8:30] Ondřej Bitto (Lupa) referuje o přednášce Davida
Perryho "Spam a phishing mimo zákon."
Anotace: Nedávno Prahu navštívil David Perry, jeden z nejuznávanějších odborníků
na počítačové viry a škodlivý kód. Během své přednášky zabrousil nejen do historie počítačového
undergroundu, ale vyjádřil se také k současným problémům, které sužují svět Internetu. Které z
nich jsou největší a jak se s nimi vypořádat?
Identita
[26.5.2005 8:20] Aleš Miklík (Lupa) zveřejnil zajímavou úvahu týkající
se identit: zatím je u nás (na rozdíl od Ameriky) klid, ale -
Kdy dojde i na vaši identitu?
Boj se škodlivými programy
[25.5.2005 20:50] Scott Fendley, technik ve službě - ICS SANS,
uvádí rozsáhlý návod jak zatočit se škodlivými programy (přesněji řečeno - jak stabilizovat
systém natolik aby bylo možno zachránit uživatelská data před reinstalací napadeného systému).
→Combating Windows Malware Tutorial (using WinXP Pro)
CA - chyba v knihovně Vet
[26.5.2005 8:00] ICS SANS: CA uvádí podrobný návod na stránkách pro
podporu EZ Antivirus/Armor, rovněž uvádí
návod pro kontrolu.
[25.5.2005 20:30] ICS SANS upozorňuje na chybu v knihovně Vet používané
v mnoha produktech jak CA tak i některých OEM produktech poskytujících AV skenování. Podle
CA má většina jejich produktů schopnost automatické aktualizace, jiné společnosti by měly
opravy urychleně chystat. Vzhledem k značně chaotickému označování verzí produktů CA je
však situace poněkud nepřehledná; doufejme že CA poskytne uživatelům návod jak přesně určit zda
jsou ohroženi. →Computer Associates Antivirus Vet Library Vulnerability
→http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?id=32896
Chyby DNS
[25.5.2005 20:20] ICS SANS upozorňuje na chyby některých implementací
DNS které je možno speciálně připravenými palety DNS shodit. Výstrahu vydalo jak NISCC,
tak později i Cisco a Secunia. →DNS Denial of Service Vulnerability
Vydírání
[25.5.2005 21:00] David (Kaspersky Lab) doplňuje informace o obdobných
minulých vyděračských operacích. →Using malware for extortion: striking, but not new!
[24.5.2005 12:10] ICS SANS varuje před elektronickým vydíráním: informuje
o případu kdy se uživatel stal pravděpodobně obětí slabiny
M$IE HTTP Help browser vulnerability (MS04-023): uživatelova data byla zašifrována
a vyděrač poslal oběti nabídku pomůcky pro odšifrování dat za 200 US$ (které chtěl zaplatit přes
on-line platební službu). Máte instalovány všechny vydané opravy? Co takhle si to hned
zkontrolovat?
Nepříjemné překvapení
[24.5.2005 11:10] může čekat návštěvníky některých stránek v podobě hromadného
pokusu o zneužití slabin M$IE. Po skenování na řadu známých slabin dojde - je-li některá z nich
nalezena - k instalaci řady škodlivých programů: zadní vrátka, trojani, addware a spyware.
Zajímavé je že tyto "skužby" poskytuje zmiňovaná stránka svým obchodním partnerům...
→iframeDOLLARS dot biz partnership maliciousness
Dejte mi své ID
[24.5.2005 10:50] ICS SANS uvádí téměř neuvěřitelný případ mistrovského
využití sociálního inženýrství: jistý server doporučuje svým novým zákazníkům aby pro platbu
užili stejné uživatelské ID a heslo jako pro paypal 
→Shame on that prophet.
eBay/Paypal phishing
[24.5.2005 10:40] ICS SANS se zmiňuje o množících se zprávách o phishingových
útocích na eBay a Paypal. Tyto útoky jsou založeny na zneužití (dlouho známých - leden 05) chyb
ZeroBoard bulletin board sw →eBay/Paypal phishing via vulnerable ZeroBoard software.
Phishing: jak nenaletět
[23.5.2005 11:50] ICT World přináší rady Symantecu jak rozpoznat
phishing a jak v těchto případech postupovat.
→Symantec provides advice on phishing scams
Změna chování Sober.Q
[23.5.2005 10:20] Podle plánu přestal dnes o půlnoci Sober.Q spamovat a začal
hledat na předem určených stránkách aktualizace svého chování, říká Jarkko (F-Secure), a
dodává že zatím se neví o jaké změny má jít ale na daných stránkách se nic nenachází; F-Secure
situaci monitoruje. →Sober.Q started the update phase Dřívější aktuality o červech Sober najdete
zde.
Netscape 8.01
[23.5.2005 9:50] a už jsou tu i první bezpečnostní záplaty shrnuté v nové verzi
Netscape 8.01 →Netscape 8.01
[19.5.2005 11:40] Otakar Schön (Živě) informuje o dokončení verze 8.0
prohlížeče Netscape a uvádí jeho základní vlastnosti i kde si ho mohou zájemci
stáhnout.
→Netscape 8.0 je dokončen
Zase jednou Benny
[20.5.2005 10:30] Jen pro úplnost a udržení povědomí: stále
bloguje
(podle jeho slov z konce dubna policie odložila vyšetřování jeho případu [podezření z autorství
červa SQLSlammer] pro nedostatek důkazů, ale ví to jen neoficiálně), v lednu (ale zmínil se o
něm právě až koncem dubna )
vyšel v Tiscali-Zpravodajství jeho
inetrview
, vyvíjí (programuje) Zoner Anti-Virus (ZAV) (a stěžuje si na to jak špatně se mu programuje
pod linuxem na rozdíl od widlí [rozuměj: Windows]) a chystá se překládat (pro
Zoner Press) knihu
The Art of Computer Virus Research and Defense (autor
Peter Szora)... tvorbě virů se (podle vlastních slov) už (několik let) nevěnuje...
Pokud to někoho zajímá více, dřívější aktualitu
nalezne zde.
Nový průzkum krádeží identity
[19.5.2005 19:30]
Článek New Identity Theft Survey Reveals Latest Count of Victims, Need for Greater Protection
v TMCnet uvádí některé výsledky nezávislého průzkumu zákazníků uvolněného včera firmou
First Data Corp., zabývající se elektronickým obchodem a platbami. Případy phishingu
(rhybaření) a krádeže identity stále dramaticky rostou: 6,8% dospělých se stalo obětí krádeže identity,
43,4% dospělých bylo postiženo rhybářským kontaktem. 54 milionů američanů se stalo obětí podvodu
souvisejícího s identitou. Tento průzkum ukazuje že krádeže identity a rhybaření jsou celonárodním
nebezpečím a že zákaznící potřebují pomoc s obranou. Téměř 5% pokusů rhybaření je úspěšných, přes
významné úsilí finanční obce zvýšovat povědomí a vzdělávat zákazníky o rhybaření. Výzkum také
ukazuje že 50% zákazníků se velmi/extrémně obává krádeže identity. Více než třetina dotazovaných
(36,6%) dostala rhybářský majl, 19% rhybářský telefonát; 5% z těchto kontaktovaných zákazníků
uvěřilo rhybářům natolik že jim poskytlo požadované osobní informace. Těměř polovina (45%) z těch
kteří poskytli informace uvedla že tyto informace byly použity k neautorizovaným transakcím.
V minulém roce to přispělo k přibližně 2 milionům nových obětí krádeže identity jen z rhybaření.
Commwarrior: 2F
[19.5.2005 15:40] Katrin (F-Secure) + Finsko:
1. Irsko, 2. Indie, 3. Oman, 4. Italie, 5. Filipíny, 6. Finsko.
→Commwarrior in Finland
[19.5.2005 11:20] Jarno (F-Secure) dopňuje seznam o Filipíny -
1. Irsko, 2. Indie, 3. Oman, 4. Italie, 5. Filipíny.
→Commwarrior spotted in Philippines
(viz též dřívější →aktualita).
Bezpečnost Wi-Fi
[19.5.2005 11:50] Živě přebírá článek z Connect!
Jak na bezpečnost Wi-Fi?
Cabir v Německu
[19.5.2005 11:30] Jarno (F-Secure) hlásí 24. zemi výskytu.
→Commwarrior spotted in Philippines. Postup šíření lze sledovat přes dřívější
→aktuality.
PS Nějak jsem přehlédl zmínku o Švýcarsku - to je ta "chybějící" 23. země s Cabirem.
Trendy rhybaření
[19.5.2005 9:30] SecurityPark.Net komentuje výsledky studie Phishing
Trends. Průzkum pro Websense Security Labs provedl Harris Interactive.
→Nearly Half of IT Decision Makers Surveyed Say Employees Have Fallen for the Phish
Původní studii naleznete →zde. Podobný článek s dalšími údaji z jiných zdrojů přináší eMarketer
Do They Know They've Been Hooked?
Nebezpečí zevnitř
[19.5.2005 8:50] ISC SANS upozorňuje na zajímavou studii
Insider Threat Study: Computer System Sabotage in Critical Infrastructure Sectors
právě vydanou CERT SEI
Carnegie Mellon University
→An interesting report came out of the CMU CERT a také
→Secret Service and CERT Release Second Insider Threat Report.
Sasser: poslední velký síťový červ?
[18.5.2005 15:20] Ryan Naraine (eWeek) přináší vzpomínky na loňskou
epidemii červa Sasser z pohledu MSRC (Microsoft Security Response Center). Na otázku
z titulku však Debby Fry Wilson z týmu MSRC vpodstatě nemůže odpovědět jinak než že M$
je na případné nové útoky lépe připraven než před rokem.
→Sasser: The Last Big Network Worm?
[19.5.2005 10:10:00] Kevin J. O'Brien (International Herald Tribune) vyslovuje
názor že nedávné pravicově orientované "německé spamy" (jejichž autor je pravděpodobně němec
sympatizující s extrémní pravicí) se nejspíš pokouší ovlivnit volby které mají v Severním Rýnsku-Vestfálsku
proběhnout v neděli (podobně jako vloni v září). Podle německé pobočky firmy Sophos
tvořily tyto spamy v úterý 84% všech spamů v Německu.
→Spam attack linked to German election
[18.5.2005 12:10] Damian Clarkson (iTWeb) informuje o záplavě německého
spamu v Jižní Africe během minulého víkendu - u mnoha místních organizací stouplo využití
přenosového pásma během neděle na maximum místo obvyklých 5%.
→German spam invades SA
[18.5.2005 15:10]
ICT World uvádí že 15.5.2005
v 02h00 (místního času) stoupla úroveň lokálního spamu o 300% a celý den zůstala na této hladině.
→Nationwide spam outbreak could slow local Internet
[16.5.2005 19:20] Roel (Kaspersky Lab) se více zabývá aktivitami červů
Sober.P a Sober.Q, připomíná podobnost s aktivitami variant Sober.G a Sober.H
a vzpomíná na tehdejší záplavu spamů v Holandsku.
→Sober.p strikes again
→Some info on Sober.q
→Sober.q has become active
[16.5.2005 12:00] F-Secure informuje o nové aktivitě Sober.P - o
víkendu stáhl a aktivoval Sober.Q
rozesílající německé spamy (obsahující linky na weby propagující rasismus a neonacismus, jak
informuje ISC SANS →German Spam...Maybe?).
→Sober.q spams right-wing related emails
→More on Sober.q
[16.5.2005 11:40] Roel (Kaspersky Lab) blíže rozebírá možnosti ochrany
AdWare (de facto všeho malware) proti nalezení. →Protection mechanisms
[16.5.2005 11:50] F-Secure snížila 13.5.2005 uroveň nebezpeči červa Sober.P na základní.
[11.5.2005 9:00] Roel (Kaspersky Lab) vysvětluje proč se Sober.p
tak úspěšně šířil: vidí hlavně 2 důvody - jednak sociální inženýrství dovedené téměř k dokonalosti
(dvojjazyčné texty, nabídka volných lístků na mistrovství ve fotbalu), dále skutečnost že zatím
stále mnoho majlových serverů nepoužívá antivir (a tím vlastně podporují šíření virů majly). To by
stále ale k takovému úspěchu s jakým se Sober.p šířil nestačilo: další důvod je že podobně
jako některé jiné varianty Sobera používá ochranu proti I/O operacím s jeho soubory, je-li
aktivní v paměti, což znamená že nedokáže-li daný AV zjistit Sober.p v paměti a zrušit
ho, nedokáže ani jeho soubory oskenovat a tím zjistit že je ve stroji přítomen... Máme tedy spousty
zombií které kontrolují na určených místech zda pro ně není připravena aktualizace, která nám přinese
další překvapení. A to podle Roela není všechno - lze očekávat další varianty rozvíjející
již tak silné stránky rodiny Sober.
→Sober.p reaches new heights - and then dies?
[10.5.2005 10:30] Podle Sophosu je Sober.P na vzestupu: přes víkend
se podíl majlů s ním vyšplhal na 5,4% veškeré (sledované) pošty a 84% virové aktivity (v pátek to
bylo jen 4,65% a 77%). Pro srovnání Netsky.P (považovaný za nejrozšířenšjší vir) měl podíl jen
0,3% majlů. →Sober worm hits new heights.
[5.5.2005 12:20] Na jedné straně panují z rychlosti šíření Sober.P obavy
až panika (podle některých by to mohl být červ roku), na druhé straně hned po objevení upozorňovali
analytici McAfee na podobnost s variantou Sober.M s tím že sice rychle šíří, ale pak
rychle zanikne. →Sober worm variant makes the rounds.
[5.5.2005 12:00] Otakar Schön (Živě) rozebírá chování a šíření
Sober.P
[4.5.2005 11:00] Kaspersky Lab už mluví o epidemii v západní Evropě
Sober.p causes epidemic in Western Europe.
MessageLabs už zachytila více než 1,1 milionu kopií - mezi zeměmi postiženými velkým množstvím
nové varianty patří Singapur, USA, Velká Britanie, Čína, Holandsko, Německo, Nový Zéland, Rakousko,
Francie, Belgie, Dánsko, Litva, Spojené arabské emíráty, Jižní Afrika, Evropská Unie, Chile, Mexico a Indie.
MessageLabs Stops Over 1.1 Million Copies Of New Sober Virus
[3.5.2005 18:40] Na novou variantu upozorňuje i Igi, Mikko (F-Secure) dodává
že šíření se nevzbuzuje přílišné obavy; nicméně protože se v majlech nabízí volné lístky na světový
pohár v kopané 2006 v Německu, FIFA vydala veřejné varování →Sober Agent.
[3.5.2005 11:40] Vít Jurásek (Živě) →Červ Sober.P se razantně šíří internetem.
[3.5.2005 9:40] podle zpráv ICS SANS i
F-Secure se objevila nová varianta poštovního červa
Sober. Minulé verze se poměrně úspěšně šířily, uvidíme jak si povede tato. Symantec
přiřadil červu W32.Sober.O@mm vysokou úroveň nebezpečí.
Norton AntiSpyware
[18.5.2005 14:30] Molouk Y. Ba-Isa (Arab News) informuje o βverzi
produktu firmy Symantec Norton Internet Security 2005 AntiSpyware Edition poskytujícího
kombinovanou ochranu proti spyware, spamu, virům, červům, hackerům a jiným bezpečnostním rizikům.
→Symantec Releases Beta Version of Spyware Solution. Viz
tisková zpráva.
OneCare
[16.5.2005 20:00] Otakar Schön (Živě) informuje o chystané nové placené
službě Microsoftu: OneCare. Je určena domácím uživatelům PC, nabízí ochranu před viry a spyware,
má automatizovat další činnosti jako například kontroly disků, zálohování systému...
→Microsoft nabídne službu OneCare - antivir, firewall, antispyware a zálohování
[18.5.2005 14:00] Tiskové oznámení M$: Microsoft to Deliver Automated, All-in-One PC Health Service for Consumers. Další informace např.:
→Keep your PC healthy
→Microsoft Announces OneCare Antivirus
→Microsoft To Deliver Automated PC Health Service.
Boj se spamem
[18.5.2005 11:00] Bruce Schneier má ve svém
blogu
pěkný článek Combating Spam. Je přístupný také v jeho zprávách
Crypto-Gram Newsletter
- viz Combating Spam.
Mimochodem, Crypto-Gram je měsíční souhrn (částečně upravených resp. aktualizovaných)
zpráv z Schneierova blogu Schneier on Security
Nové varianty Mytob
[18.5.2005 10:30] David (Kaspersky Lab) informuje o spoustě nových variant
Mytob (za tři měsíce od objevení Mytob.a jsou zde již varianty Mytob.aw;
viz též dřívější aktualita) a pochvaluje si jak jim
(tj. Kaspersky Lab) generické rozpoznávání umožňuje pomocí jedné virové definice poznávat
mnohočetné varianty rodin malware (někdy jde o desítky i o stovky variant hrozeb!).
→New Mytobs, and generic detections
Poznej svého nepřítele: Phishing paper
[18.5.2005 10:20] ISC SANS upozorňuje na nový dokument ze serie "Know Your
Enemy" - Phishing paper.
Analyzuje úmysly a metody získávání informací rhybáři. →Honeynet KYE: Phishing paper Published
Snadná (podniková) špionáž
[18.5.2005 9:30] John Bambenek, technik ve službě ("Handler on Duty")
ISC SANS uvádí příklad nového scénáře použití spyware ke krádeži dat (tj. dokumentů;
je přesvědčen že dříve nebo později k něčemu podobnému dojde):
- vezměte standardní spyvare instalující keylogger;
- odstraňte keylogger;
- vložte kód odesílající jakýkoliv dokument (.xls, .doc, atd) nalezený v PC;
- omezte kód tak aby nezahltil poštu a unikl detekci nebo naopak odešlete všechno najednou...
(variace ad libitum). Řekl bych že průměrný uživatel nemá šanci se ubránit, ale i
řada podniků bude mít velké problémy. Že by už byl čas investovat do cihláren? (výroba hliněných
tabulek bude brzy šlágrem). →Corporate Espionage Made Easy with Spyware
Průzkum spywareového nebezpečí
[17.5.2005 16:10] Článek
Survey Highlights Real Breadth of Spyware Threat zveřejněný na portálu
SecurityPark uvádí výsledky průzkumu profesionálů
IT odkud se do jejich sítí dostává spyware: web: 79%, email: 67%, výměnnná media (klíče, CD,
atp.): 29%, instant messaging: 39%, P2P (hudba a film): 41%, hry: 33%, freeware/shareware: 52%.
Další závěry ukazují že IT profesionálové požadují anti-spywareový systém odstraňující malware
a chránící před ním a objevujícím se nebezpečím. Společnosti zabývající se bezpečností Internetu
musí pro své zákazníky zastavit cykly šíření infekce a ne je vmanévrovávat do pořizování anti-spyware
které tuto problematiku neřeší. 95% IT manažerů věří že centrální řízení a správa je nejúčinnější
způsob nasazení anti-spywareového řešení; 92% chce blokovat spyware ještě než se objeví v síti;
94% chce řešení odolné proti uživatelským zásahům které značně omezují efektivnost jakéhokoliv
bezpečnostního řešení. V současné době pouze 10% organizací užívá anti-spywareové řešení.
Nový IM červ jde po vás
[17.5.2005 14:20] John E. Dunn (Techworld) upozorňuje na nového Instant
Messaging (IM) červa W32/Oscabot-B (alias W32/Opanki.worm, Oscarbot, Doyorg;
viz též Backdoor.Doyorg nebo Backdoor.Win32.Agent.jn) který se
zaměřuje na IM sw AOL. Na napadeném PC instaluje backdoor umožňující útočníkovi stahovat
a spouštět programy a nainstaluje se do registrů. Přes IM AOL se ale nešíří okamžitě, ale až po
přijetí příkazu od útočníka - pak pošle na všechny adresy ze seznamu zprávu "Hey check out this"
s vloženým odkazem na soubor odkud se po odkliknutí stáhne a spustí a tak infikuje další stroj.
V souvislosti se stále se množícími útoky přes IRC se objevují úvahy o tom zda používání IM ve
firmách je skutečně nutné a stojí za všechna rizika. →New IM worm is coming to get you
Využívání a zneužívání IM
[17.5.2005 11:10] Podle průzkumu Instant Messagingu (IM), který si nechala vypracovat
firma Akonix Systems (2000 mladých anglických pracovníků ve věku 18-29 let) 16% připustilo
užití IM k odeslání nebo přijetí citlivých firemních informací nebo dokumentů, 25% (z toho 2x
více mužů) užívá IM ke klepání o spolupracovnících, 80% užívá IM k chatování s přáteli nebo
rodinou při práci a 7% si pomocí IM shání jinou práci. Při tom ale IM může být cenný pracovní
nástroj: pomáhá zlepšovat komunikaci se zákazníky nebo partnery (46%), umožňuje rychlejší rozhodování
(33%), pomáhá získávat informace (39%). 21% společností má obecnou politiku užívání IM, dalších 19%
má technologii pro řízení nebo blokování IM komunikace; nicméně 62% dotazovaných pracuje pro
společnosti které nemají politiku užívání IM nebo technologii pro řízení IM. V jiné samostatné
studii Akonix zjistil že šíření virů sítěmi IM se za první tři měsíce 2005 ztrojnásobilo.
→John Leyden (The Register): UK workers in IM flirt, gossip, bitchfest
→Microsoft to Deliver Automated, All-in-One PC Health Service for Consumers
IBM doporučuje Firefox
[16.5.2005 19:50] (zaměstnancům), uvádí Otakar Schön (Živě), a zahajuje
jeho interní podporu. Zatím Firefox používá přibližně 10% zaměstnanců IBM. O konverzi na
Firefox se zmiňujeme také v dřívější aktualitě.
→IBM doporučuje
zaměstnancům Firefox
Roční výročí trojana BMPAgent
[16.5.2005 19:30] připomíná Yury (Kaspersky Lab) a uvádí jednu zajímavost
- šířil se jako BMP obrázek, zneužíval chybu některých verzí Internet Exploreru a Outlook Expressu
při zpracování grafických souborů. →Trojan-Downloader.Win32.BMPAgent.a is a year old
Commwarrior nalezen v Italii
[16.5.2005 18:50] sděluje Jarno (F-Secure) a dále uvádí že ani obtížnost
instalace z MMS zprávy infekci nezabrání - lidé jsou prostě zvědaví co jim v MMS přišlo.
→Commwarrior spotted in Italy Italie je tedy čtvrtou zemí s potvrzenou infekcí
červem Commwarrior, dosavadní pořadí je: 1. Irsko, 2. Indie, 3. Oman, 4. Italie
(viz též dřívější →aktualita).
Firefox 1.0.4
[16.5.2005 19:00] Costin (Kaspersky Lab) vypráví pěknou paralelu mezi
rychlostí šíření požáru v Londýně r. 1666 a rychlosti šíření virů (a nebezpečí plynoucím z nezáplatovaných
programů) na příkladu vážných chyb Firefoxu. Zmiňuje se také že již jsou známé exploity
pro tyto chyby a uvádí adresu odkud je možno stáhnout aktualizovanou verzi Firefox 1.0.4.
→Fire, fire(fox)!
[16.5.2005 12:20] Česká verze byla vydána 12.5.2005
→Firefox 1.0.4 CZ a Mozilla Suite 1.7.8. Stahovat lze
zde.
[12.5.2005 11:20] opravuje kritické chyby javaskriptu a některé další chyby
→What's New 1.0.4.
Stahovat lze zde,
Česká verze se (jako obvykle) připravuje. →Nový Firefox 1.0.4 opravuje kritické chyby
Microsoft Security Advisories
[16.5.2005 10:50] Možná by se hodilo připomenout že Microsoft otevřel novou
bezpečnostní poradnu Microsoft Security Advisories. Asi jsem to zahlédl i někde jinde, dnes mi to
ale připoměl deníček →ISC SANS.
Logy IM klientů
[16.5.2005 10:10] Na základě dotazů uživatelů ISC SANS zveřejnilo umístění
logů různých IM klientů [1]. →1. část
→2. část Mohlo by se hodit:
MSN Messenger 7.0: C:\Documents and Settings\<windows login>\My Documents\My Received
Files\<IM handle>\History
Yahoo Messenger 6.0: C:\Program Files\Yahoo!\Messenger\Profiles\<IM handle>\Archive\Messages
AOL Messenger: C:\program files\users\default\log\AIM\Query
Miranda Messenger: C:\Program Files\Miranda IM\Logs
mIRC: C:\program files\mirc\logs (je-li logování povoleno)
Trillian 3.1: C:\Program Files\Trillian\users\default\logs
Exodus 0.9.x: C:\Documents and Settings\<username>\My Documents\Exodus-Logs\<user>_<server>.html
GAIM: Na unixu jsou v ~/.gaim/logs, na win32 jsou v adresáři $drive\Documents and Settings\user\Application
Data\.gaim\logs. V obou případech jsou nové logy (od verze 0.73) v podadresářích odpovídajících
protocol/yourscreenname/theirscreenname.
iChat: /Users/<logon name>/Documents/iChats
[1] Impulsem byla pomoc staroslivému rodiči při hledání v chatovém logu na PC dítěte; slibují
také zveřejnit stručný návod.
Trendy malware
[16.5.2005 10:00] ISC SANS informuje o čtvrtletní zprávě analyzující
trendy malware a doporučuje ji jako výborné čtení.
→PanadaLabs report
Microsoft SQL Server 2000 Service Pack 4
[12.5.2005 11:30] Když jsme u těch oprav, zapoměl jsem se zmínit že minulý
týden byl vydán SP4 pro M$ SQL Server 2000.
→podrobnosti. (vymluvím se na to že nevím o nikom v blízkém okolí
kdo by M$ SQL používal tady to uvádím
spíše jen pro úplnost, pokud by to některý administrátor SQL zjistil až po týdnu zde tak by to
bylo dost špatné.)
Podíl zavirované pošty vyšší než podíl normální pošty
[12.5.2005 10:30] Podle včerejší zprávy v
Net 4 Nowt bylo od soboty 7.5.
do úterý 10.5. v poště procházející systémy Postini
více pošty obsahující vir Sober - 14% - než platné pošty - 13%
→ Virus mail overtakes legitimate mail at Postini
[Postini je čtvrtý největší poskytovatel zabezpečení el. pošty (po AOL, MSN/Hotmail a Yahoo);
zpracovává týdně více než 3 miliardy zpráv pro více než 4500 společností (odstraňuje spamy, viry,
phishingové, DHA, DoS a jiné útoky).]
Co bude s DNS?
[12.5.2005 9:50] Pavel Satrapa se v článku
Jaké jsou perspektivy DNS? na Lupě
zabývá dokumentem Signposts in Cyberspace: The Domain Name System and Internet Navigation.
Říká: "Cílem dokumentu je analyzovat současný stav DNS a jeho vztah k navigaci v Internetu,
identifikovat možné hrozby pro jeho další vývoj a přinést doporučení, jak jim čelit. Nedá se říci,
že by dokument byl nějak mimořádně skeptický, ale jeho čtení není zrovna veselé." a dokument
rozebírá. Vzpomeneme-li si na současné rozmáhající se zneužívání některých vlastností DNS hackery
(národní abecedy, cache poisoning) je možná na některé teoretické úvahy již skoro pozdě
.
Commwarrior
[11.5.2005 14:40] Jarno (F-Secure) připomíná že Cabir není jediný Symbianovský
červ šířící se po světě. Již v lednu byl v Irsku objeven Commwarrior (viz též dřívější →aktualita).
Další známé výskyty jsou Indie a Oman. Commwarrior se šíří jak přes Bluetooth tak jako MMS
zprávy; infekce přes MMS je ale ještě složitější - uživatel musí nejprve uložit přílohu MMS zprávy.
Přestože by Commwarrior mohl být
nebezpečnější než Cabir, jde zatím jen o jednotlivé případy a zdá se že velké nebezpečí
nehrozí. Šíření Commwarrioru pomocí MMS zpráv se však majiteli infikovaného telefonu může
pěkně prodražit.
→Commwarrior Symbian MMS worm is in the wild
Cabir na Novém Zélandu
[11.5.2005 14:30] Jarno (F-Secure) hlásí 22. zemi výskytu
. →Commwarrior Symbian MMS worm is in the wild. Postup šíření lze sledovat přes dřívější
→aktuality.
Bezpečné PHP?
[10.5.2005 13:50] Costin (Kaspersky Lab) vypráví pěkný a poučný příběh
jedné znectěné (defaced) webové stránky .
Ukazuje se že nestačí mít dobrého hostitele stránek se systémem používajícím poslední a aktuální
(záplatované) verze sw, ještě je nutno při programování aplikací důsledně myslet na správné použivání
funkcí (tj. hlídat je - např. aby nemohly otevřít libovolný zadaný soubor odkudsi z webu).
→Safe PHP - a contradiction in terms?
Cabir X auta
[10.5.2005 12:10] Pokud si vzpomínáte na mírný rozruch kolem možnosti infekce
počítačů v autech Lexus a Toyota virem Cabir (viz dřívější aktualita) příběh má pokračování: týmu virových specialistů F-Secure to
nedalo a provedli podrobnou analýzu (viz článek [včetně obrázků!]
In depth investigation of myth about Cabir infecting Lexus). Dřívější tvrzení
že Cabir nemůže infikovat Bluetoothové palubní počítače těchto aut bylo potvrzeno.
Rychlé šíření bankovního trojana
[10.5.2005 10:50] Podle informací v článku
Banking Trojan spreading rapidly na ComputerWeekly.com se bankovní trojan
Troj/BankAsh-A
rychle šíří - portál Lycos v dubnu zachytil a zastavil 3,3 milionů pokusů o jeho stažení,
zatímco v březnu těchto pokusů bylo jen 40000. Hlavní "pracovní náplní" trojana Banker (alias, přesněji
PWS-Banker.j) je zaznamenávání přihlašovacích jmen a hesel k bankovním účtům (určených bank - poslední
jsou Barclays a Bank of Scotland) pro luxování účtů případně jiné podvody (kromě toho
vypíná AV sw, maže soubory, krade informace, stahuje a instaluje další malware - šikovná věcička!
). Kromě šíření majly se BankAsh.A
šíří p2p sítěmi a pomocí jiného adware a spyware.
Phishing
[10.5.2005 9:10] je stále na vzestupu: mohli bychom se sice utěšovat že zatím
nejvíc postihuje USA, ale mnohem rozumnější je situaci sledovat a snažit se jí porozumět a naučit
se těmto a podobným útokům bránit. Mohl by nám v tom pomoci i článek
→Výsledky jarního rhybaření načerno
na Lupě, jehož autorem je Ondřej Bitto.
Problémy Google, problémy DNS
[9.5.2005 12:10] Daniel Dočekal komentuje výpadek Google
→Google nehackli, prý jenom výpadek v DNS.
[9.5.2005 17:00] Výpadkem a dohady co se vlastně stalo se zabývala snad všechna
media - za všechny aspoň The Register.
ICS SANS se nejen tímto výpadkem, ale celkově situací kolem problematiky DNS
cache poisoning zabývá v řadě příspěvků během několika posledních týdnů, např.:
Botnets Used to Host DNS for Phishing
Continued DNS poisonings
DNS problems at Network Solutions
(Unintentional) DNS Cache poisoning
DNS cache poisoning, again. Illustrating a particular DNS cache poisoning incident.
DNS cache poisoning update
Updates on DNS Poisoning
DNS Cache Poisoning Detailed Analysis Report.
DNS Cache Poisoning Detailed Analysis Report.
Excellent DNS Article
New DNS cache poisoning server; DNS Poisoning stats a tak dále...
Obejití chyb Firefoxu
[9.5.2005 11:40] K nedávno objeveným chybám Firefoxu 1.0.3 (k nimž
už existují exploity ale zatím nejsou opravy) ICS SANS doporučuje jako možnost jak je obejít
buď vypnout Javaskript nebo nepovolovat stránkám instalovat sw (nebo obé ).
→Exploit against Firefox 1.0.3
→Firefox 1.0.3 Alternate Workaround
[9.5.2005 14:00] Ojojoj, zapoměl jsem se zmínit o jaké chyby vlastně jde: napravil
to za mne Otakar Schön (Živě) v tomto příspěvku (chyby
zpracování Javascriptu).
Cabir v Řecku!
[6.5.2005 11:20] hlásí Mikko (F-Secure) a přináší obrázky z průběhu instalace
Cabira na mobilu a částečné vysvětlení proč vůbec k infekci dochází (podle napadených):
na mobilu se objeví zpráva (Receive message via Bluetooth from Nokia 3650?) vyžadující odpověď
"Yes" nebo "No"; odpoví na ni "No", ale zpráva se ukáže okamžitě znovu, zase odpoví "No", ale celé
se to opakuje... A protože se zdá že "No" nefunguje, odpoví "Yes"... Zpráva by zmizela, pokud by se vzdálili z dosahu infikovaného mobilu - ale jak
to má obyčejný uživatel vědět? →This is all Greek to me. Pro zájemce o postup šíření Cabira jsou zde dřívější
→aktuality.
Milostné
[6.5.2005 8:50] dopisy, majly ale i viry byly, jsou a budou velmi populární. Na
pětileté výročí červa I love you (LoveLetter) vzpomíná David (Kaspersky Lab) jako
na první případ stále úspěšnějšího sociálního inženýrství (poslední rozšířenou variantou
je Sober.P s nabídkou volných lístků na fotbal - viz starší aktualita). →Social engineering: an ongoing love story. Výročí připomínají i jiné články,
např. Five Year Anniversary
Of Infamous Worm, I-Worm.Loveletter.
Záplatujte Apple Mac OS!
[6.5.2005 8:30] John Leyden (The Register) informuje o hromadě oprav
(vlastně servis packu, jen tak není oficiálně označen ) vysoce kritických
chyb Mac OS X v10.3.9 →Apple mega-patch fixes 19 flaws. Informace přímo od pramene.
Spyware sype!
[4.5.2005 11:20] Podle rozboru výsledků výzkumu firmy Webroot, který Matt
Hines (CNET News.com) zveřejnil v článku
Research: Spyware industry worth billions,
spyware vynáší asi 2 miliardy US$ ročně, představuje asi 25% celého internetového reklamního
průmyslu. Nejvšudypřítomnější je adware: některá z jeho forem běží na 50% firemních resp. 60%
soukromých strojích, přičemž na infikovaných strojích běží průměrně 7 různých verzí adware současně.
Stinger
[4.5.2005 9:10] Jako reakce na taktiku nového Sober.p který ukončoval mj.
procesy obsahující jméno stinger bylo jméno této utility firmy McAfee postupně změněno
na st1nger a pak na s-t-i-n-g-e-r - viz Update History na stránce
http://vil.nai.com/vil/stinger/ -
informuje ISC SANS. Nově je také uváděn MD5 hash.
→'leet Names and the Distribution of Security Tools.
Dubnový žebříček vede Zafi-D
[3.5.2005 10:40] říká Sophos, referuje TechWeb
→Zafi-D Leads Top
10 Viruses in April →Top ten viruses and hoaxes reported to Sophos in April 2005
[4.5.2005 10:40] ale podle Kaspersky Lab je až šestý, první místo patří
Mytob.c →Virus
Top Twenty for April 2005. Žebříček je doplněn rozsáhlým komentářem.
[3.5.2005 9:20] Bylo zveřejněno první letošní pokračování pravidelných čtvrtletních aktualizací
→The Twenty Most Critical Internet Security Vulnerabilities
→Top 20 update.
Na zprávu Top 20 reaguje řada článků v různých mediích a zdůrazňují různá dílčí pozorování a
závěry - jako např. že se hackeři začínají více soustřeďovat na aplikační sw, kde bezpečnostní
aktualizace nejsou prováděny tak často (jako v OS) přestože také obsahují mnoho chyb.
Aktualizace produktů Symantec
[2.5.2005 11:10] Minulý týden vydal Symantec opravu delší dobu známé chyby
zpracování šifrovaných nebo archivovaných souborů, postihující řadu produktů. Podrobnější informace
naleznate zde.
→Symantec Squashes Virus Detection Bypass Bug
Studie o Bagle
[2.5.2005 10:44:27] Gregg Keizer (TechWeb News) rozebírá výsledky dvou
nedávných studií červa Bagle (viz dřívější aktuality: zde a zde) a rozsáhle z nich cituje (zvláště z první z nich). Pozoruhodný je závěr
jejího autora Jasona Gordona: podobně jako bezpečnostní sw mohou být zkonstruovány,
využity a řízeny i výnosné škodlivé programy.
→Bagle Worm Seen As 'Blueprint' For Web Criminals
20 nejkritičtějších slabin Internetu, v originále The Twenty Most Critical Internet Security Vulnerabilities, je dokument
který by neměl ujít vaší pozornosti...
Přehled nebezpečných programů byl přesunut do
samostatného dokumentu. Příliš se rozrůstal
Pokud vás zajímá jak se viry činí, nahledněte do žebříčků AV společností:
F-Secure virus statistics
(oficiální AV program MU), Kaspersky Labs Virus Top Twenty for April 2005 (nebo přes
Virus News a najít si příslušný měsíc),
Computer Associates Virus Information Center,
Messagelabs top 10 current virus threats,
Trend Micro Weekly Virus Report,
Trend Micro Top Threats,
Top ten viruses reported to Sophos in ... a dalších...
Zajímá-li vás rozšíření virů po světě, můžete nahlédnout do
mapy výskytu virů McAfee nebo
Trend Micro Virus Map.
Programy k odstranění virů a další informace jsou na www stránkách CIT
o virech a antivirech a také na dalších stránkách o
problematice virů (za všimnutí stojí i nové stránky Spyware.cz o problematice Spyware, Adware, Dialerů a jiných):
Další důležité stránky o bezpečnosti Woknous a Ouřadu:
Bezpečnostní aktuality za rok 2005 po jednotlivých měsících:
01 02
03 04
05 06
07 08
09 10
.
Běžné aktuality (zprávy, události - jiné než bezpečnostní )
naleznete zde.
Pro zájemce je k nahlédnutí archiv starších virovych, bezpečnostních
a jiných subjektivně významných
aktualit za rok 2004.
Rekapitulace starších zpráv a přehled událostí v roce 2004,
2003.
(od 20.1.2005)
