Archiv starších virovych, bezpečnostních a jiných subjektivně významných aktualit
Spyware útočí na Internet Explorer
[22.12.2004 11:50] Ve stejně nadepsaném příspěvku se Vít Jurásek na
Živě zmiňuje o spyware CoolWebSearch a dalších škodlivých aplikacích.
→Spyware útočí na Internet Explorer
Nová havěť pro chytré mobily
[22.12.2004 11:30] Weblog F-Secure hlásí objevy nových variant
Skulls.C, Cabir.F, Cabir.G a MGDropper
→Skulls.C and Cabir.F found
→Two new Symbian malwares found
METAL Gear.a
[22.12.2004 10:20] Larry Garfield (Infosync world) informuje o novém
trojanu METAL Gear.a pro chytré Symbiantovské mobily (Series 60 smartphones), předstírajícím
PC hru "Metal Gear Solid" přenesenou do prostředí OS Symbian. Po instalaci
vypne AV program, explorer a řadu dalších a instaluje upravenou verzi červa Cabir.c,
který začne přes Bluetooth skenovat okolí; pokud najde jiný telefon pošle mu upravený trojan.
→'Metal Gear' Symbian OS trojan disables anti-virus software
a také třeba
→Another Symbian Trojan Masquerades As Game
Santy !
[22.12.2004 14:20] Roel (Kaspaersky Lab) potvrzuje zprávu o zveřejnění
kódu, ale je poměrně optimistický co do úspěšnosti šíření nových variant červa.
[22.12.2004 9:50] The Tech Report se zmiňuje o
tiskové zprávě
Kaspersky Lab podle které nový červ Santy.a napadá weby na nichž
běží phpBB.
Zranitelné servery vyhledává pomocí Google, s využitím slabin starších verzí phpBB
server napadne a procedura se opakuje. Na napadeném serveru přepíše soubory s řadou přípon
včetně .htm a .php. zprávou "This site is defaced!!!" KL doporučuje upgrade phpBB
na 2.0.11
→New worm affects web forums
Včerejšek byl docela hektický, na weblogu F-Secure je řada příspěvků popisujících peripetie
spojené s šířením Santy.a. Nejdůležitější je že se podařilo zablokovat šíření s pomocí
Google. 
→Wrapup on case Santy
a další...
Podobně je možno najít řadu příspěvků v deníku Kaspaersky Lab
→Preliminary evaluation of Santy outbreak
a dalších... Aleks upozorňuje že KL zachytil novou variantu Santy, takže se zdá
že zdrojový kód červa se dostal do ruk nějakých 'script kiddies' a že tedy můžeme očekávat
pokračování těchto hrátek.
Samozřejmě, dění kolem červa Santy.a se od samého začátku věnují i analytici SANS ISC
(dobrovolníci, víme?) →Santy Worm Update
Řádění Santy neuniklo ani pozornosti Víta Juráska (Živě)
→Červ Santy ničí tisíce webových diskuzních fór
Několik drobných/dobrých rad
[21.12.2004 10:30] zaměřených na vánoční dárky z oblasti IT uvádí
Johannes Ullrich (ISC SANS) v příspěvku
→Holiday Security Guide
mj. zabezpečení nových PC, přístupových bodů WiFi, firewalů, ...
Cisco: závažné bezpečnostní chyby
[21.12.2004 10:15] ZDnet UK přebírá článek Marguerite Reardon (CNET
News.com) o chybách které Cisco Systems nedávno přiznalo na svém
webu - především o možnosti automatického
vytvoření účtu s výchozím (default) heslem.
→Cisco reveals security blunder
Cabir a spol.
[21.12.2004 10:10] David Quainton (SC Magazine) referuje o výroční tiskové
konferenci Kaspersky Lab v Moskvě. Marc Blanchard (ředitel evropského AV centra KL)
odhaduje že do dvou let budou mobilní viry skutečným nebezpečím.
→Phone viruses widespread in two years
[20.12.2004 10:15] Komplic nedávno odsouzeného
Briana Salcedo, Adam Botbyl, dostal 26 měsíců.
→Second hardware hacker gets 26 months' prison
Gregory A. Herns (21) dostal 6 měsíců za proniknutí do systémů NASA v r. 2001 a
způsobení škody 200000 US$. Kromě toho musí nahradit škodu a bude mít na 3 roky omezený
přístup k počítačům. →Man Gets 6 Months in NASA Hacking Case
Největší náhrada škod
[20.12.2004 10:15] CNN přináší zprávu (kterou přebrala, citovala a
široce rozebírala řada [nejen US] medií) o pravděpodobně největší náhradě škod v procesu se spamery:
soudce Charles R. Wolle odsoudil 3 spamery (ze 300 obžalovaných) k úhradě 1,08 bilionů US$
(AMP Dollar Savings Inc. - 720 milionů US$, Cash Link Systems Inc. - 360 milionů US$, TEI Marketing
Group - 140 milionů US$). I když uvedená částka pravděpodobně nebude nikdy zaplacena (uvedené firmy
jsou nedostupné) je to cenné vítězství.
→Spammers ordered to pay $1 billion
Náboženský spam
[20.12.2004 10:15] ECommerce Times rozebírá nový trend: podle zprávy
MessageLabs roste objem spamu s
náboženským obsahem...
Make Love With Spam
[20.12.2004 10:15] Mikko (F-Secure) se zmiňuje o nové variantě Ataku,
která navíc k rozesílání falešných vánočních pohledů obsahuje link na obrázek Lycosu (
viz nedávné pokusy Lycosu o útoky na spamery) -
obrázek je ale upraven: místo "Make Love Not Spam" hlásá "Make Love With Spam"
→Another new Atak found
AdWare infikuje soubory
[16.12.2004 14:50] Roel (Kaspersky Lab) píše o nové technice šíření
malware: jeden z nechvalně známé rodiny CoolWebSearch infikuje soubory (programy),
takže je-li takovýto program spuštěn, zároveň s ním se spustí i on sám. Toto je zajímavý a
nebezpečný obrat: AdWare se tím ještě více blíží k trojanům, k nimž je již delší dobu
přirovnáván. Znamená to, že nestačí odstranit AdWare, ještě je nutno desinfikovat
soubory!. Bude zajímavé sledovat jak se s touto situací vyrovnají Anti-AdWareové (Anti-SpyWareové)
programy. →AdWare crosses the line
[16.12.2004 10:50] Brian Salcedo (21) byl odsouzen na 9 let za pokusy
o krádeže čísel kreditních karet z informačního systému Lowe's přes jejich WLAN pomocí
wardrivingu (hledání nezabezpečených přístupových bodů WiFi pomocí antény v autě).
→Nine year sentence for wardriving in USA
5 nejčastějších slabin zabezpečení sítí
[16.12.2004 10:30]
HNS informuje o zprávě
IPxray, která zkoumala více než 4000 podnikových sítí
(→IPxray Issues
Industry Alert for Top-5 Network Intrusion Vulnerabilities), podle níž jsou nejčastější slabiny:
- IIS: WebDAV Overflow (MS03-007)
- Apache 1.3.31 htpasswd local overflow
- IIS FrontPage ISAPI Denial of Service
- OpenSSH 3.7.1, php arbitrary file upload
- Apache mod_access rule bypass
Pryč od elektronických pohlednic!
[16.12.2004 10:00] Zafi.D se úspěšně šíří, varují před ním i česká media
a samozřejmě většina světových medií (vděčné téma pro předvánoční čas). Statistiky jsou ale různé: podle
F-Secure je zatím
čtvrtý s 6%, Sophos říká že každý desátý majl má infikovanou vánoční pohlednicí,
podle statistik na českých stránkách - Igi a
virovy radar - je na třetím místě... McAfee našel 0,18% v Evropě a 0,2% globálně...
[15.12.2004 17:50] naléhá Mikko
→It's that time of the year...
nainstalují vám viry -
teď např. Zafi.D a Atak.H, nebo taky zloděje hesel...
→You got a Postcard!
Záplaty od Microsoftu
[15.12.2004 15:50] Vít Jurásek (Živě) připomíná že včera bylo záplatovací
úterý M$ (2. úterý v měsíci) a že tedy je k dispozici
Prosincová
nadílka záplat od Microsoftu
Zašívejte, látejte, Z Á P L A T U J T E ! ! !
Nový Mydoom (vlastně: Atak)
[15.12.2004 13:50] Costin (Kaspersky Lab) upozorňuje na nový přírůstek
do rodiny Mydoom. Zatím se moc nešíří - nenechte se ale ošálit přáním "Mery Chrismas
& Happy New Year! 2005 will be the beginning!" ani "Happy New year and wish you good
luck on next year!". →No holiday for Mydoom
[15.12.2004 14:30] Yury (Kaspersky Lab) poznamenává že ve skutečnosti
jde o novou variantu červa Atak jehož některé varianty jsou podobné některým červům Mydoom.
→Update on new worm
[15.12.2004 15:30] Yury: a už máme tři další varianty
[15.12.2004 17:40] deníček F-Secure přináší dokonce obrázek:
→Another Christmas greeting virus found
Zašifrované soubory
[15.12.2004 14:05] Yury (Kaspersky Lab) upozorňuje na škodlivý
program který zašifrovává uživatelské soubory. V zašifrovaných souborech je umístěna
ruská výstraha s adresou serveru pro odšifrování
→Malicious encryption programs
F-Secure Corporation's Data Security Summary for 2004
[15.12.2004 12:12] byl právě
zveřejněn... Počet známých virů
překročil 100000... Začátek roku byl poznamenán rekordním počtem výskytů nových virů, pak
přišla válka virů (Mydoom x Bagle x Netsky)... V druhé půlce roku bylo relativně klidněji,
ale začaly se objevovat sítě botů, objevily se první viry pro mobily, dále roste spamování
a šíří se phishing, psaní virů se profesionalizuje... Podařilo se chytit a odsoudit několik
autorů virů a podobných ptáčků... Stručný přehled je v
deníku F-Secure, během dne (nebo o něco málo později) můžeme očekávat
shrnutí na Živě nebo u
Igiho...
Zafi.D
[15.12.2004 9:40] Včera jsem si myslel že to bude jen další varianta a že se o ní
ani nebudu zmiňovat, ale přepočítal jsem se
čile se má k světu a AV společnosti mu přidělily vysoké úrovně nebezpečnosti
→Zafi.D
→Erkez.d
[15.12.2004 12:35] Podle Costina (Kaspersky Lab) je vlastenec na
prvním místě statistik maďarského freemajlu
→Patriot on the loose
Spamu se nezbavíme
[13.12.2004 19:00] protože řada lidí (např. 41% američanů, 66% brazilců
→studie
Forrester research pro
BSA od spamerů nakupuje, takže spamerům se spamování
vyplatí (jak jsme se zmiňovali jinde
)
→BSA
Mohlo by vás zajímat
[13.12.2004 12:30] návod:
Windows XP:
jak se zbavit otravných hlášení v Oznamovací oblasti
Zajíček z Playboye nepotěší
[13.12.2004 9:50] originální veršovánka
silicon.com je samozřejmě lepší:
Playboy bunny, not
so funny. Tomu kdo naletí na slibovaný obrázek (stále účinné metody) se nainstaluje
dáreček v podobě zadních vrátek a zloděje hesel.
Na vir Maslan.c upozorňuje také např.
eWeek článkem
'Playboy' Virus Dropping Dangerous Backdoor. V obou článcích jsou odkazy na
původní informace AV společností a stručný rozbor aktivit
viru.
Zabezpečení PC
[10.12.2004 10:30] Bruce Schneier v článku
Who
says safe computing is a pipe dream? (ZDNet)
aktualizuje svá doporučení jak zvýšit bezpečnost používání PC.
Čtěte a užívejte
PS stejný článek najdete i v
deníku
Bruce Schneiera.
Rok 2004 patří Netsky
[9.12.2004 11:00]
INTERNETWEEK se v článku
Netsky: Worst Virus Of 2004 zabývá středeční zprávou
Sophos: počet nově objevených virů a pod. se oproti minulému
roku zvýšil o více než 50%. Na první příčce žebříčku je rodinka Netsky, který je odpovědná
za více než polovinu útoků (přičemž sám Netsky.P odpovídá za téměř čtvrtinu)... (Jde vlastně
o doslovně převzatou zprávu z TechWebu.)
Původní, mnohem rozsáhlejší zpráva Sophosu
→War of the worms: Netsky-P tops list of year's worst virus outbreaks
Window Injection Vulnerability
[10.12.2004 11:40] Robert Lemos rozebírá tuto nebezpečnou chybu v článku
Browser phishing 'flaw' could hook users a končí doporučením Secunie:
"pohybujete-li se na stránkách jako jsou banky nebo obchody, mějte otevřené pouze jediné
okno prohlížeče!"
[9.12.2004 10:00]
Secunia včera oznámila tuto chybu
u většiny prohlížečů: Netscape, Konqueror, Opera, Safari, M$ IE; dnes o ní referuje např.
TechWeb v článku
Most Browsers Buggy,
Even IE In XP SP2. . Viz také
Another Internet
Explorer flaw nebo Hromadná chyba webových prohlížečů umožňuje podvrhnout obsah.
Oko za zub
[8.12.2004 11:40] aneb neúspěšný pokus dát nepříteli ochutnat jeho vlastní
medicíny.
Lycos Europe se rozhodl znepříjemnit spamerům
život: nabízel ke stahování šetřič obrazovky ("Make Love not Spam"), který po nainstalování
bombardoval servery spamerů dotazy. Původní představa byla zřejmě taková že zahlcením spamovacích
serverů se množství odesílaného spamu zmenší. Tento pokus Lycosu vyvolal rozpačitou reakci
a kritiku, protože se vpodstatě neliší od spamerských/hackerských metod a DoS útoků. Navíc se
obrátil proti Lycosu - spameři změnili (nebo, podle tvrzení Lycosu podvrhli) stránku z níž
se šetřič mohl stahovat; později se dokonce objevil falešný šetřič s trojanem. Nakonec
Lycos útok odtroubil. Mimochodem, žádný
odkaz na šetřič MLNS již na stránkách Lycos Europe (ani Lycos)
není k nalezení. A ze serveru makelovenotspam
zůstal jen obrázek.
Bližší informace
Lycos shuts down MLNS project ¦
Spamming the spammers: good idea or just misguided vigilantism? ¦
Fake Lycos screensaver ¦
When is a defacement not a defacement? ¦
Spammers fight back ¦
Makelovenotspam.com defaced? ¦
Lycos Europe organizing a DDoS attack against spammers ¦
Anti-spam DDoS = dumb!
[9.12.2004 10:20] Další rozbor přináší např. E Commerce Times
v článku Trojan Mimics Controversial Lycos Europe Screensaver nebo
The Register v
Lycos antispam site taken offline.
Nové středisko podpory IM a P2P
[8.12.2004 11:10] Web
WindowsIT Pro informuje o založení nového
střediska IMlogic Threat Center
(společně s partnery Sybari, McAfee, Yahoo!, AOL a Microsoft, projekt podporují
i další - Symantec, IBM, Hewlett Packard, ...) "The new IMlogic Threat Center is designed
to provide a comprehensive knowledge base for threats potential such as spam, virus, worms, and
other types of malicious code. The public is invited to use the center ..."
→New IM and P2P Threat Center
Roční zpráva MessageLabs
[8.12.2004 10:40] Web security informuje o zprávě
MessageLabs;
podle ní bylo z 12,6 bilionů majlů 9,2 bilionů
(73%) spamů! Podrobněji
→The
year the big phish was landed.
→MessageLabs Intelligence
annual email security report 2004: The year the big phish was landed
Podpora Windows NT
[7.12.2004 10:35] sice končí, ale ne úplně, informuje Živě
→Microsoft
prodlouží podporu pro Windows NT4
Nová oprava Winamp
[7.12.2004 10:20] tj. Winamp 5.07 je k dispozici zde, oznamuje SANS ISC
→Winamp Fix.
[30.11.2004 18:10] obsahuje přes týden chybu, přestože Nullsoft tvrdí že ji opravil
.
→WinAmp security hole deepens. Secunia chybu označuje jako velmi kritickou.
→Winamp "IN_CDDA.dll" Buffer Overflow
Vulnerability.
WS_FTP exploit
[6.12.2004 20:00] je na světě, takže můžeme očekával novou vlnu problémů,
upozorňuje příspěvek
FTP Vulnerability
& Accompanying Activity v deníku SANS ISC. Zmiňují se rovněž o tom že Secunia
označuje tuto chybu jako vysoce kritickou
→WS_FTP Server FTP Commands
Buffer Overflow Vulnerabilities.
MacOS X Security Update
[6.12.2004 19:50] Také Apple vydává
opravy
bezpečnostních chyb, jak uvádí výše uvedený
příspěvek
se stejným titulem v deníku SANS ISC.
Kritická oprava Internet Exploreru M$
[2.12.2004 10:40] přesněji: Microsoft Security Bulletin
MS04-040: Cumulative Security Update for Internet Explorer (889293) byla
vydána včera večer (zatím jen anglická verze). Nevztahuje se na M$ Windows XP SP2;
a přes slůvko "cumulative" v názvu neobsahuje všechny opravy.
→Microsoft předčasně uvolnil opravu na kritickou chybu Internet Exploreru
→Important note about Microsoft's MS04-040 update
→Microsoft releases critical update for IE
→Microsoft Patch
for IFRAME vulnerability
→IFrame vulnerability closed
→A new critical security fix for IE
→Microsoft rushes out critical IE fix
[3.12.2004 19:20] Aleks (Kaspersky Lab) upozorňuje na kritickou
chybu Netscape
→Highly critical
vulnerability in Netscape 7.x kterou ohlásila Secunia
→Netscape PNG Image Handling
Vulnerabilities
Sun vydává zprávy
[3.12.2004 10:20] o chybách v Javě, pingu a Netscape (pro Solaris), oznamuje
Adrien v deníku SANS ISC:
→Sun bulletins. Kritická
chyba Javy byla odstraněna již dříve
→archiv
(Jouko Pynnonen, který chybu ogjevil, ji napřed oznámil Sunu, který vyvinul a
zveřejnil opravu, a teprve potom byl zveřejněn vlastní objev chyby). Chyba pingu je
odstraněna, oprava pro Netscape čeká na dokončení.
Kozel zahradníkem?
[10.12.2004 12:00] Benny se v neděli 5. 12. vyjádřil (na svém opět přístupném
blogu) k vyšetřování.
[3.12.2004 9:40] Aleks se včera radoval že "nechvalně známý" webový
zdroj virů zmizel →Web host for virus writers closed ale dnes je smutný z toho, že byl jen
dočasně nepřístupný.
[30.11.2004 15:00] Aleks (Kaspersky Lab) tvrdí že vyšetřován byl i Ratter
→Benny, Ratter
questioned
[29.11.2004 15:50] Právě jsem si všiml poměrně řídce se vyskytujícího jevu:
zahraniční media přebírají informace z našich zdrojů )
→Police raided another virus writer. Mikko na weblogu F-Secure stručně
informuje o čtvrtečním vyšetřování Bennyho... Dan Ilett (ZDNet UK) přináší
podrobnější rozbor →Ex-virus writer questioned over Slammer. Za zmínku také stojí že ze skupiny 29A
odchází členové: Benny, Whale, dis69... zůstává ale 7 dalších... Bennyho blog zmizel,
jeho vlastní stránky jsou ale zatím dostupné, byť bez novější reakce. Také Sophos se přidává v článku
→Police question notorious ex-virus writer and confiscate computers.
[29.11.2004 12:30]
Igi oznamuje že Benny je vyšetřován
v souvislosti s červem SQLSlammer
[23.11.2004 18:00] Zoner se přece jen ozval (už 12.11., přestal jsem to
pak ale hledat ): podle aktualizovaného
příspěvku má Benny "vyvíjet bezpečnostní sw pro ochranu interních serverů" a "je
zkušený a zásadový a má hodně co společnosti nabídnout" - viz odpověď Zoneru v dalším článku
Anti-virus outfit defends job for VXer. Zatím jsem ale v českých mediích
žádnou reakci neviděl.
Mimochodem, Benny od posledního záznamu (9.11.04) nebloguje... jsou tam jen nějaké komentáře,
nejčerstvější s datem 13.11.04
[10.11.2004 10:20] Chybička se vloudila neprohledával jsem Bennyho deník podrobně, snažil jsem se hledat podle
titulků... a spíše dále v minulosti - takže mi unikl nejčerstvější (včera i dnes) záznam
kde se zmiňuje
a druha vec: vcera rano mi napsal jakysi John Leyden z The Register a
zadal co nejrychlejsi odpovedi na par otazek, jako treba proc pracuju
pro AV firmu, jestli nemam strach, ze zakaznici budou mit strach
kupovat nas software, co rikam na to, ze antiviraci prohlasuji, ze psani
security software vyzaduje jine znalosti nez psani malware... a tak
jsem mu to vsechno pekne vysvetlil... ale on si to nakonec stejne
napsal po svym. kladl jsem duraz na to, ze firma pro kterou pracuji
neni zadna AV firma (aspon ne zatim), a vysledek? titulek: "Czech
virus writer joins anti-virus firm". jak typicke.
Následují ještě další nářky na novináře
→Bennyho blog
[9.11.2004 10:15] Firma
Zoner (známá hlavně svými
programy Photo Studio a
Callisto) najala českého
autora virů Bennyho (skupina →29A)
jako vývojáře AV programu ZAV
(→Czech virus writer joins anti-virus firm,
The Register)
- což potvrzuje i sám Benny.
Mikko
to komentuje lakonicky:
We here at F-Secure don't hire criminals. (podobně odmítavé reakce byly na nedávné
zaměstnání Svena Jaschena [autor červa Sasser] firmou Securepoint
→archiv starších virovych aktualit).
BTW pokoušel jsem se na Bennyho blogu najít nějaký komentář k této změně
stran, marně. Jinak je to ale blog pro otrlé... Podle výše uvedené zprávy se (zatím) ani
The Register nedokázal spojit ani s firmou Zoner, ani s Bennym aby získal jejich komentáře
Nový Sober
[2.12.2004 11:00] Tak přece se prodral do první desítky u Sophosu
→Sober-I staggers into top 10 virus list. Podle
statistik F-Secure
má 43%
[26.11.2004 9:00]
Secunia
zvýšila úroveň rizika na vysokou.
Statistiky F-Secure
- Sober.I 53%. SANS ISC se také připojuje:
Sober.I is on the Go
[23.11.2004 9:20] Podle
statistik F-Secure
má podíl Sober.I mírně stoupající tendenci (ze včerejších 38% na dnešních 44% [24 hod.], nicméně
zatím nezvýšili úrověň nebezpečí ani ze základní 0).
Secunia
přiřazuje střední úroveň rizika. Pro statistiky Messagelabs platí totéž co včera.
Řada příspěvků se zabývala šířením Sober.I - např. GEEK.com
→BLURB
[22.11.2004 10:00] Zatím je spíše větší poprask v mediích než skutečně
masové šíření této varianty (podle statistik
Messagelabs
není ani v první desítce) -
možná se částečně kontraproduktivně projevuje dvojjazyčnost (německá a anglická varianta)...
[19.11.2004 15:00]
Sober.I
se začíná docela úspěšně šířit... →New Sober
→Nová varianta viru Win32/Sober!
→Po internetu se bleskově šíří červ Sober.I
→W32.Sober.I@mm
Sasser story
[1.12.2004 16:20] Mikko (F-Secure,
→Feature story on Sasser incident) upozorňuje na příběh červa
Sasser zveřejněný
v článku Dana Vertona
Biography of a Worm
v listopadovém čísle PC World.
[16.11.2004 15:45] Yury, anylytik Kaspersky Lab, ve svém příspěvku
How much malicious
code is really out there? v Analyst's Diary popisuje rychlost a úroveň zavirování PC
po týdnu a půl připojení k internetu: skenování objevilo 80 škodlivých programů. Současně
uvádí že pouze čtvrtina uživatelů (ruských, používajících KAV) denně aktualizuje AV databáze
... (mimochodem, KL vydává aktualizace v
hodinových intervalech ;
a dále, uváděná doba "přežití" nechráněného stroje po připojení k internetu je 20 min
→Infected in 20 minutes
- pak už je zavirován
).
[30.11.2004 18:30] Podle podobného testu který pro Avantgarde provedli
Kevin Mitnick a Ryan Russell stačí k ovládnutí nechráněného PC již 4 minuty.
→Unprotected PCs can be hijacked in minutes
→Automated
''Bots'' Overtake PCs Without Firewalls Within 4 Minutes
Chyba WINS
[30.11.2004 17:20]
Internet Security Systems (ISS) zvýšil úroveň
rizika na druhý stupeň a vydal
Protection Alert
vzhledem k chybě M$
WINS. Secunia
tuto chybu zatím označuje jen jako mírně kritickou.
Další chyba M$ IE
[29.11.2004 18:50] Secunia varuje před další středně kritickou chybou
umožňující na napadeném počítači uložit zlovolný kód při ukládání obrázku pomocí volby "Ulož
jako" je-li zapnuta volba "Skrýt příponu souborů známých typů" (což je náhradní nastavení
).
→Microsoft Internet Explorer "
Save Picture As" Image Download Spoofing. Také tato chyba zřejmě patří mezi chyby které
nedávno oznámil Finjan.
Kazaa vede!
[26.11.2004 9:20] Otakar Schön (Živě)
upozorňuje
na nový žebříček
spyware a pestware (obtěžující aplikace) zveřejňovaný společností
Computer Associates.
Množství počítačových virů prudce roste
[25.11.2004 15:20] tvrdí autoři stejnojmenného
článku na serveru
hn.ihned.cz (stejný článek je také na
DigiWebu).
Nechcete si přečíst?
[25.11.2004 11:30] Ondrej Mikle (Živě) se v článku
Jak zabezpečit počítač s Windows XP zabývá právě touto problematikou.
Mohly by vás ale zajímat i další příspěvky, o nichž jsme se zmiňovali v
dřívějších aktualitách...
Otevřený dopis
[24.11.2004 17:30] Odpověď USCERT (United States Computer Emergency
Readiness Team) CME (Common Malware Enumeration) na níže zmiňovaný otevřený dopis je zveřejněna
v deníku SANS ISC →Open Letter To Anti-Virus Software Companies - A Response.
[8.11.2004 9:30] Zmatek v pojmenovávání virů začíná být neúnosný - AV
společnosti by se měly chytit za nos a konečně se domluvit: k tomu je nabádá
Open Letter to Anti-Virus Software Companies.
[8.11.2004 15:30] Další povídání o pojmenovávání virů naleznete také
v článku Understanding virus names.
Zbavit se CABIRa
[24.11.2004 16:40] údajně není snadné; F-Secure proto na stránkách
mobile.f-secure.com (upravené
pro prohlížení mobily) připravil prostředek a návod pro odstranění této infekce z mobilních
telefonů. Cabir se zatím vyskytuje převážně v Asii (a Spojených Arabských Emirátech); byl
už ale potvrzen i ve Finsku.
→Improved disinfection instructions for Cabir. Pozn.: pro případ
že by na uvedených stránkách nebyl návod, přečtěte si ho raději napřed
zde.
Sype to!
[24.11.2004 16:15] Mikko (F-Secure) probírá to co někteří jen tuší: spam
vynáší, spammeři jsou jen zřídkakdy dopadeni, usvědčeni a odsouzeni. Jeremy Jaynes
měl jako jeden z mála právě tuhle smůlu, takže si začíná odpočítávat dny z nadělených 9 let
Přišel si na nějakých 24 milionů
US$ (asi 750000 měsíčně) přestože byl úspěšný jen v několika ubohých stovkách případů těch kteří
odpověděli na dvacet milionů spamů odesílaných denně... (což představuje přibližnou
úspěšnost 0,00005%). Více →Spam is profitable.
Nová oprava pro M$ IE 6
[23.11.2004 15:00] tedy zatím jen pro anglickou verzi, česká má brzy následovat
→
Nová aktualizace pro Internet Explorer 6 pro Windows XP SP2.
[23.11.2004 14:00] kávy ve vašem PC by mohl značně otrávit váš život (zlovolný
aplet využívající chybu Javovského pluginu umožní libovolnou činnost na napadeném stroji ), proto neváhejte a co nejrychleji
aktualizujte
(vzhledem k tomu že Java je multiplatformní, tentokrát se netýká jen Windows
). Doporučuje Jarno (F-Secure)
New Java vulnerability discovered, time to update. Stahovat
→Updated version
of Java Runtime and SDK; původní rozbor
→Sun Java Plugin
arbitrary package access vulnerability. Další rozbor problematiky např.:
→Java
Virus Jumps Out of Sandbox nebo (SANS ISC) →New Multi-Platform, MultiBrowser Java/JavaScript Vulnerability.
Nové viry, nové triky...
[23.11.2004 17:50] John Leyden (The Register) se obává že napadení
reklamního serveru Falk (viz níže) je částí širšího útoku hackerů (až zločinného
spiknutí)
→Bofra exploit tied to 'massive botnet'.
[23.11.2004 14:30] Vývojem situace se podrobně zabývá i SANS ISC v článku
Bofra/IFrame After
Action Review.
[23.11.2004 14:15] Kaspersky Lab chystá podrobnější rozbor problematiky
→Adserver
compromised - legitimate sites serving malware.
[23.11.2004 9:45] Laura Rohde (IDG) upozorňuje v článku
Banner ads spread Bofra worm na šíření virů přes servery poskytující reklamy -
takto mohli být infikování například návštěvníci The Register
→Bofra exploit hits our ad serving supplier. Podobně situaci rozebírá
Dan Ilett (ZDNet UK) v
Hackers launch Bofra banner ad attacks.
M$ stále nemá záplatu; většina analytiků doporučuje používat jiné browsery,
alespoň do doby než bude chyba opravena (a samozřejmě zvýšenou opatrnost!).
[12.11.2004 18:30] Výklad nových virů přináší na svém webu nově i
Igi; Kaspersky Lab objevil další
variantu →Yet another Bofra variant
[11.11.2004 15:20] F-Secure přejmenovalo MyDoom.AG-I na Bofra.A-C
a znají už variantu E.
→Bofra
[10.11.2004 17:50] Kaspersky Lab přejmenoval I-Worm.Mydoom.ad na
I-Worm.Bofra.b (a I-Worm.Mydoom.ae na I-Worm.Bofra.a)
jako potvrzení skutečnosti že jde o nového červa Bofra, nikoliv jen o nové
varianty červa Mydoom. Současně hlásí objev další varianty c.
→New Mydoom variants now called Bofra. Sophos používal jméno Bofra
od začátku: →W32/Bofra-A
Bofra worms
spread via unpatched Internet Explorer security hole
[10.11.2004 9:30] Pravděpodobně nejde o nové varianty Mydoom. Využívá
stejnou techniku jako Sasser nebo Blaster.→Bofra worm feels the need for speed
→More on the new IFRAME worms
[9.11.2004 9:40] Dvě nové variany Mydoom (Symantec:
W32.Mydoom.AI@mm a
AH) které se objevily dnes v noci (→New Mydooms, new exploits), používají nové triky pro šíření (ve
spojení se starým dobrým sociálním inženýrstvím): rozesílají majly s odkazem na web server
(údajné porno) vytvořený na právě infikovaném PC 
.
K napadení zneužívají nedávno objevenou chybu IFRAME (M$ IE 6) k níž zatím není oprava (pro W2K a WXP SP1 - SP2 není
touto chybou zranitelné). Zatím se příliš nešíří.
Skulls - nový trojan pro Symbian
[25.11.2004 8:50] Wayne Rash (eWeek) v článku s výmluvným titulkem
Symbian Says Skulls May Not Be Malware shrnuje názor
Symbianu.
[23.11.2004 17:30] Podle rozboru analytiků Sophos není nutno panikařit
- nebezpečí se zdá být velmi malé .
→Skulls
Trojan horse shouldn't panic Symbian mobile phone owners Především:
Skulls-A
není virus ale trojan (tedy se nešíří ani neinstaluje sám - potřebuje aktivní
"pomoc" uživatelů) a před vlastní instalací na PDA vypisuje výstrahu "... instaluj(e)te na
vlastní nebezpečí ..."
[19.11.2004 15:10] nainstaluje poškozenou verzi systému (s ikonami
Lebka a hnáty) takže Symbian nefunguje - je možno používat pouze telefonní funkce.
Trojan je šířen z některých stránek shareware pro Symbian (jako Extended Theme Manager).
→
More info on the new Symbian trojan
→New Symbian trojan discovered.
Záplatovat nebo čekat?
[19.11.2004 10:15] Costin z Kaspersky Lab probírá v poznámce
Third party
patches důvody proč záplaty chyb jiných autorů (tj. neautorizované, ne od původního
autora produktu) nemusí být vždy dobré (i když třeba nepředpokládáme přímo zlý úmysl podvržení
jiného malware... viz uváděný
příběh).
Sadmind
[18.11.2004 9:45] V souvislosti s nedávno oznámeným uvolněním OS Solaris (Sun)
pro platformy x86 a SPARC (zdarma!!! →Sun Micro's Answer to the Linux Invasion: Give Away Solaris 10) připomíná
Costin z Kaspersky Lab že Sadmind
je jediným (zatím ) známým virem
pro tento OS (jeden z posledních zbývajících UNIXovských operačních systémů
)
→OS wars
and Solaris
Další autor virů dopaden a odsouzen
[19.11.2004 9:20] Komentář AV firmy Sophos (nejen k odsouzení Whale ale
i k případu Bennyho) je v článku Trouble for 29A virus-writing gang as Russian member is sentenced.
[18.11.2004 9:30] Eugene Suchkov (z
Udmurtie) byl odsouzen k pokutě
3000 rublů (asi 100 $). Člen skupiny 29A (známý jako
whale), autor několika
virů. →Another virus writer caught & sentenced. Přiznal autorství virů
Stepar a Gastropod →29A member convicted in Russia.
První vir šířený pomocí EMF
[16.11.2004 15:25] je
Aler, (zneužívá
slabinu MS04-032) - po otevření přílohy majlu s předmětem "Latest News about Arafat!!!"
se červ nainstaluje (a pak se stejným způsobem šíří dál )
→First virus distributed in Extended MetaFiles
Další chyby v SP2
[12.11.2004 8:30] podle SANS
ISC nalezla firma
Finjan:
→Ten SP2 flaws leave XP
users open to hackers,
→
Update: Ten New Security Holes in Windows XP SP2?
Pozor na HTML majly!
[10.11.2004 9:50] David (AV analytik Kaspersky Lab, Analyst's Diary:
→HTML e-mail & why it's not a good idea) vysvětluje v čem je problém a
proč ty krásně vypadající webově formátované majly
(HTML ) vůbec nejsou dobrý
nápad.
Mobilní spamování
[10.11.2004 9:15] bude jednou velká legrace
Zatím jen na zkoušku, s využitím volných SMS serverů v Rusku(*), a zaměřeno na ruská čísla
(s prefixy +7921 a +7911 a náhodně generovanými dalšími šesti ciframi). →Trojan infects PCs to generate SMS spam
→The Register
Čekal jsem kdy to někoho napadne...
(*) tj. serverů ruských mobilních operátorů s volně přístupnou službou zasílání SMS;
přičemž SMS generují PC napadená trojanem Delf-HA
Autor Sobig?!
[5.11.2004 12:50]
Údajný autor Ruslan Ibragimov odpovídá na obvinění, ale popírá analýzu v
interview
[1.11.2004 9:50] Mikko (virový analytik F-Secure) se v
deníčku zmiňuje o
dokumentu
(původně soukromé informaci, teď je již ale zveřejněno na uvedeném místě i
zde) snažícím se určit autora červa Sobig
(poslední varianta F)
Nová havětí taxonomie
[4.11.2004 10:05] Zdá se že ve jménech škodlivé havěti bude trochu větší
přehled - připojí-li se k iniciativě Kaspersky Labs další AV firmy, a hlavně pokud se nějak domluví.
V novém systému pojmenovávání
virů, červů a pod. (VirWare, TrojWare, MalWare, RiskWare, AdWare, PornWare) budou jména
odvozována podle šablony Behaviour[ - Sub behaviour].OS.Name[.Modification:],
tedy např. Trojan-Dropper.Win32.Agent.a. Více v článku
Kaspersky Lab is currently switching to a new malware classification system
v jejich deníčku.
PS hned nad uvedeným článkem je jeho pokračování.
Válka AdWare?
[2.11.2004 18:45] Jistě si vzpomínáte na nedávnou válku Bagle-NetSky-Mydoom
Podobnou válku mezi různými
druhy AdWare teď podle weblogu Kaspersky Lab spolu vedou TrojanClicker.Win32.Agent.af a
EliteBar AdWare (popisy zatím nejsou, odkazy obsahují jen obecné informace).
→TrojanClicker.Win32.Agent.a
→AdWare.ToolBar.EliteBar.q
Červ už má 16 !!!
[2.11.2004 18:15] Před 16 lety se začal šířit první, Morrisův červ.
Lavinovitému šíření podlehlo přes 60000 počítačů tehdy připojených k Internetu (včetně
výzkumného střediska NASA). Celkové škody byly odhadovány na 96 milionů US$.
→1988
→Major Hackers Personalities
→...the birth of the network worm
Nový weblog
[2.11.2004 10:00] analytiků z Kaspersky Lab "The Analyst's Diary is a
weblog maintained by
virus analysts from Kaspersky Lab headed by Eugene Kaspersky." Zveřejněn 21.10.2004;
nového deníčku si všimli v konkurenčním
weblogu analytiků F-Secure
Antivirus Research Team, kteří si jako první takový
weblog začali vést (někdy
v lednu 2004). Pod datem 26.10.2004 píše Eugen (Kaspersky) o poslání jejich weblogu.
Mimochodem, týž od F-Secure byl vyvolán monitorováním červa
Mydoom...
Beagle.AV
[2.11.2004 9:05]
Symantec
zvýšil úroveň nebezpečí červa
W32.Beagle.AV@mm na 3.
Nový trend?
[1.11.2004 17:20]
W32.Myfip.A, který byl objeven asi před měsícem "in the wild", se začíná
šířit... Zatím je poměrně málo virulentní; viroví odborníci se ale obávají nové a dosud
neznámé metody jeho "zabalení" (vícenásobná komprese a šifrování). Může to také znamenat
nový trend šíření virů...
Více →Virus experts fret over Myfip, původní článek
→Myfip packing trait worries virus experts.
Všech virů...
[1.11.2004 9:50] Konec minulého týdne (se svátkem a pro mnohé i volnem
příjemně prodlužujícím víkend)
a začátek listopadu je ve znamení řady nových a tentokrát i značně aktivních virů. Jen
stručně:
Mydoom.AG,
Agobot,
Zafi.c,
Bagle.AS,
Bagle.AT,
Bagle.AU...
Podle
F-Secure virus statistics
se za posledních 24 hod. Bagle.AT vyšplhal na druhé místo; podle
virového radaru
se Bagle.AS a Bagle.AU drží na prvním a třetím místě (také posledních 24 hod.; nedejte
se příliš zmást občasnými rozdíly resp. nejednotnostmi v pojmenování virů/červů a jejich
variant - srovnání můžete najít např. zde a nověji i zde - tu je i zmínka o prostředku
VGrep
jímž si můžeme toto babylonské změtení zpřehlednit). O Bagle.AS se zmiňuje i
Igi.
80 % domácích počítačů je infikováno škodlivým softwarem
[27.10.2004 14:00] tvrdí studie provedená AOL a National Cyber Security Allince,
o níž se píše v The Register. Stručný rozbor je zveřejněn i v
Živě.
Varuj se darů Danajských...
[27.10.2004 11:15] Zajímá vás co se skutečně děje v Iráku? Sociální inženýrství
zlých hochů zneužívá obrazové zpravodajství z války v Iráku - zvědavost se nemusí vyplatit
v obrázku se skrývá trojan
Famus.B (čitelněji např. na
Secunii)
→Trojan
Horse uses war as cover. Vzpomeňte si na obrázky
Usamy bin Ládina v červnu 2004...
[15.10.2004 13:40] Pokud se někdo nepoučil z před časem hojných nabídek obrázků
A. Kurnikové
a řady dalších celebrit, mohl by se možná nechat nalákat novějšími obrázky
slibujícími lechtivé záběry Davida Beckhama či Michaela Jacksona a dostal s nimi trojany
Nepomůže ani červený klobouk
[25.10.2004 15:30] když si nedáte sami pozor a naletíte na podvrženou stránku
redhat-fedora.com.
Sice už není funkční, přes víkend ale nabízela údajné bezpečnostní opravy pro
→Red Hat
→Fedoru.
No jistěže to bylo malware (tentokrát rootkit)
Hrr na Macy!
[25.10.2004 15:00] Ani pojídači jablek nemůžou být úplně klidní a bezstarostní... Přestože byl na tamní virové
frontě klid (až tak velký že některé AV firmy zastavily vývoj pro Apple)
nedávno objevený Opener
kombinuje destruktivní činnost s šmírováním (keylogger) a otevíráním vrátek (zadních,
backdoor)
→Malware for Macintosh OS X. Není se kam schovat.
[26.10.2004 11:00] Sophos tento vir označuje jako
Renepo-A. Dosti podrobný rozbor je např. v
PC WORLDu
Buchon
[25.10.2004 14:30] Ve čtvrtek objevený vir
Buchon, původně
pokládaný za další variantu Netsky
AG, je pravděpodobně jihokorejské provenience (odkazy na univerzitu
SoonChunHyang v Bucheonu v Jižní Koreji).
Zatím vypadá neškodně (až na keylogger
- vzhledem k chybám se zatím nereplikuje úspěšně); třeba si s ním ale někdo dá víc práce...
Uvěznění v Brazilii
[22.10.2004 9:00] Brazilská policie oznámila uvěznění 53 lidí za krádež
30 milionů dolarů z účtů internetových bank pomocí phishing trojanů.
Většina uvězněných je mladší 25 let, 18 z nich bylo již dříve za podobné zločiny
trestáno. Viroví experti Sophos upozorňovali brazilské uživatele na rostoucí nebezpečí
těchto útoků již začátkem tohoto roku.
→53 arrests as Brazil cracks down on phishing Trojan authors
Nespoléhejte na firewall M$ WXP
[21.10.2004 15:45] tvrdí
Vít Jurásek v článku
Firewall ve Windows XP může být překonán trojským koněm na Živě.
2 špatné zprávy o MSIE
[21.10.2004 13:45] chyba "drag&drop", přes nedávné opravy, po úpravě
exploitu stále funguje →SANS ISC; zlovolné webové stránky mohou pomocí upravených souborů
typu hhk (Windows Help Index) překonat omezení bezpečnostních zón. Podrobněji
→MSIE Two Vulnerabilities
Bezpečnostní chyba "záložkových" prohlížečů
[21.10.2004 13:15] jejichž výčet najdete v
přehledu nebezpečných programů umožňuje
podvržení jiných než požadovaných webových stránek a předání dat jinam než člověk chce
. Info
→SANS ISC,
stručný rozbor např. v Živě, podrobnější třeba na Secunii
Nebezpečné Firewire porty
[21.10.2004 11:15] Podle zprávy v NTBUGTRAQ Digestu (..."mailing list for the discussion of security
exploits and security bugs"...) mohou být porty Firewire (IEEE 1394) bezpečnostním
rizikem - specifikace totiž umožňují přímý přístup k paměti hostitelského hw. Správci
zařízení s porty Firewire obsahující citlivé informace by měli přehodnotit bezpečnostní
politiku. →Firewire/IEEE
1394 Considered Harmful to Physical Security
Nebezpečné velké soubory
[21.10.2004 11:15] Podle zprávy v NTBUGTRAQ Digestu může zpracovávání obrovských textových souborů programy
typu notepad způsobit nestabilitu M$ Windows vedoucí ke ztrátě citlivých informací
případně získání vyšších privilegií →Microsoft Windows Huge Text Processing Instability
KUOLE JEHOVA
[14.10.2004 18:00] Bacros je asi měsíc starý destruktivní vir který se šíří
kopírováním na všechny flopy disky
které vidí a snaží se vypálit na CD (včetně Autorunu!).
Navíc i skrývá textové soubory
(každého druhého; všechny TXT soubory skryje a sám sebe uloží ve stejném adresáři pod stejným
jménem s příponou EXE; činnost maskuje tím že jeho ikona vypadá jako ikona textového
souboru a po kliknutí zobrazí původní soubor).
Šíří se i jako makrovir. Každého prvního nahrazuje všechny GIFy obrázkem s textem
"KUOLE JEHOVA" (finsky; anglicky "Die Jehovah" - "Zemři Jehovo" [dík za překladatelský
tip DM]), na Boží hod
(první svátek vánoční, 25. 12.) vymaže všechny soubory na lokálních discích...
A pak že jsou diskety už překonané!
→
A virus spreading on floppies? In 2004?
Červ "Funner"
[13.10.2004 16:30] se od pondělka šíří Microsoftí sítí MSN Messenger. Zatím je
ale málo rozšířen a není pokládán za příliš nebezpečný.
→popis Nicméně uživatelé MSN se nemohli k síti připojovat, protože
M$ postihly současně i technické problémy (které jsou však již, podle tvrzení M$,
odstraněny) info →
zde nebo taky
zde
Nejhorší korejský hacker zatčen
[13.10.2004 16:30] bývalý zaměstnanec splečnosti zabývající se informační bezpečností,
Lee (30), podezřelý z proniknutí do 1152 systémů od března 2003 (místní rekord!)
→Top Korean Hacker Arrested
Microsoftí úterý - nové opravy!!!
[13.10.2004 10:00] Každé druhé úterý v měsíci zveřejňuje Microsoft nové
opravy ("Security Bulletins"
→TechNet Security). Tentokrát je jich 10 (7 "kritických" a 3 "důležité"),
jak pro Windows tak pro
Office. Pro jejich instalaci (nepochybujte že nutnou!) můžete použít
např.
Windows Update
a Office Update
nebo funkci Automatické aktualizace M$ Windows.
Zmínku o nových opravách
určitě uvidíte na mnoha místech a většinou se všude do omrzení bude opakovat: aktualizujte,
opravdu aktualizujte, je to fakt důležité, aktualizujte - tak si dejte říct, tentokrát vám výjimečně
všichni radí dobře, a už proboha aktualizujte!
20 nejkritičtějších Internetových slabin
[8.10.2004 12:00]
SANS Institute
dnes zveřejnil upravenou verzi přehledu
The Twenty Most Critical Internet Security Vulnerabilities
Infikované obrázky
[7.10.2004 20:20] ENT News přináší
zprávu
o programu umožňujícím připravit obrázky zneužívající chybu zpracování JPEG souborů,
který AV firma Panda Software našla na webu crackerů. Kdo umí finsky, může si najít více
informací
Kdo by si chtěl o tomto nebezpečí
více počíst, může tak učinit třeba v článku
A picture
worth a thousand worms
Nové kritické opravy
[7.10.2004 20:20] M$ zveřejnil nové
kritické opravy pro WXP (KB885523); viz též
Živě
Sociální inženýrství a IRC sítě
[7.10.2004 9:40] využívá ke svému šíření nový červ
Noomy.A
(→PandaLabs); čtivější popis
je např v článku Noomy.A: A Sophisticated Worm That Spreads Through IRC Using Social Engineering,
nebo ho můžeme najít u jiných AV firem (např.
Sophos
) -
Parafrázujeme-li šéfa PandaLabs (Luis Corrons): "... způsob jímž Noomy.A užívá sociální
inženýrství k obelstění uživatelů IRC se zdá být pokusem otevřít nové cesty šíření virů...
uživatelé musí být obezřetní a odmítat všechny zprávy obsahující nevyžádaný obsah, bez
ohledu na to jakou Internetovou službu používají."
jojoj, tehle není žádná novinka,
Sophos ho zná už od 26.9.
Trojská válka
[6.10.2004 10:00] Vzpomínáte na jarní válku mezi červy rodin NetSky a Bagle
(a Mydoom →archiv březen 2004)? Podle
zmínky na
ISC (Internet Storm Center) se objevil
trojan který maže soubory a klíče v registrech o nichž je známo že jsou spojeny se spyware.
[7.10.2004 9:20] Podle Symantecu je to
Downloader.Lunii, popis je dále např. v
New trojan is adware killer.
[7.10.2004 20:10] Není to zase až takové dobračisko -
Lunii
navíc modifikuje soubor HOSTS a stahuje soubory z neznámých webů...
→ Symantec issues warning about two-faced Trojan
Aktualizace Office (chyba JPEG)
[6.10.2004 9:30]
V souvislosti s (nyní už dobře známou) chybou JPEG upozorňujeme na nutnost aktualizovat
aplikace MS Office. Tyto aktualizace se nenabízejí automaticky - musíte je vyhledat sami
na Domovské stránce položek ke stažení pro sadu Microsoft Office.
Cabir na cestách +
[4.10.2004 9:30] Vzpomínáte na nedávnou zmínku o prvním
červu pro mobily?
(→ archiv starších virovych aktualit)
Asi se vám brzo připomene - byl prý v srpnu viděn na Filipinách, nedávno zase v
Singapuru.
[6.10.2004 18:00] A objevují se už i odhavěťovače,
například od F-Secure.
Příklad virové nákazy - 29 ze 40 sídel společnosti napadeno
[30.9.2004 11:55] Původní popis In Search of a Botnet - Lessons Learned na ISC SANS, později a stručněji 40 lokalit, 60 serverů, 3000 stanic a virová nákaza na DigiWebu - aneb co se může stát i ve firmě která dbá na bezpečnost
(náprava trvala více než
3 týdny!) - co teprve jinde?!?
Chyba JPEG +
[24.9.2004 8:15] Od včerejška je na světě návod jak zneužít chybu zpracování
JPEG obrázků (MS04-028). Ještě je čas na
opravy,
AV společnosti očekávají brzký výskyt virů zneužívajících tuto chybu!!!
[29.9.2004 18:00] Podle pondělních zpráv (F-Secure weblog, ISC Handler's Diary:
→Bugtraq) se vyskytly pokusy o instalaci trojana vhodně konstruovanými
JPEG obrázky umístěnými na "sítě pro dospělé". Další logický krok bude červ hromadně rozesílající
infikované přílohy
Více útoků směřujících na e-Commerce a Webové aplikace
[21.9.2004 11:00] asi 75000 PC napadených denně, 2000 až 30000 PC zneužitých
denně, snížení průměrné doby od objevení chyby k zveřejnění způsobu jejího zneužití z 7 dnů
na 5,8 dne, 4496 nových virů a červů za první pololetí 2004 (4,5 krát více než vloni!)...
→stručný rozbor
→původní zpráva
[20.9.2004 9:15] Sven Jaschen, autor 30 variant Netsky a 4 variant
Sassera byl zaměstnán německou bezpečnostní společností
Securepoint jako vývojář bezpečnostního
sw (firewally) →blog F-Secure
+ [21.9.2004 10:00] Tato zpráva je dnes hojně a se
smíšenými reakcemi rozebírána - nejčastěji jsou vyslovovány obavy z možného povzbuzení
dalších crackerů k následování tohoto příkladu... koneckonců v několika posledních variantách
Mydoomu byl inzerován zájem o práci v AV průmyslu...
SETI@Home
[20.9.2004 9:30] ISC
(→Internet Storm Center)
se obává
že stránka SETI@Home
byla napadena a že na ni byla podvržena úpravená verze klienta.
Vysvětlení bylo naštěstí prostší: chyba skriptu generujícího stránku...
→News
Virový radar on-line
[16.9.2004 17:40] Podle informace na Igiho webu byly dnes otevřeny nové stránky
Nejrozšířenější viry a analýzy.
Jako zdroj dat slouží freemailová služba
Seznam (přes 2,5 mil.
majlů denně) používající AV program NOD32.
Mozilla, Firefox a Thunderbird
[15.9.2004 14:15] Mozilla Organization uvolnila
nové verze odstraňující 10
vážných chyb. → více
Neživé PC: když vaše PC není vaše +
[8.9.2004 15:00] Informaci o zajímavém čtení z
USA Today
o sítích zneužívaných PC ("zombies") najdete na weblogu F-Secure
(About botnets and spam zombies) - články
Are hackers using your PC to spew spam and steal? a
Going price for network of zombie PCs: $2,000-$3,000. Je tam i pěkná
animace.
[9.9.2004 11:15] Seriál pokračuje (všechny uvedené články napsali
Byron Acohido a Jon Swartz, USA TODAY):
Zombie PCs spam, phish, harass on the sly,
Tech industry presents less-than-unified defense,
Signs your PC's under siege, and what you can do... možná bude pokračování
a možná z toho všeho někdo
udělá souhrnný český článek
+
Zajímavý článek Phishing: když si hacker podá ruku se zločincem publikoval začátkem léta
J. Hlavenka na
Živě. Mimochodem, 8.9.04 Telenor zneškodnil
síť více než 10000 nakažených PC poté co našel a vypnul její řídící server.
+ Podle článku Hackers deploying 'bots' on a massive scale je takto zneužito 2000 až
30000 PC denně.
Windows XP Service Pack 2 česky
[6.9.2004 17:00] SP2 pro Windows XP byl právě lokalizován. Automatická aktualizace přes
službu Windows Update bude od 14.9.. Více →
Živě.
[8.9.2004 14:25] kdyby ale někdo moc spěchal
může si SP2 už
stáhnout
→Živě
Mluvící vir
[13.9.2004 9:10] Že to nikoho nenapadlo už dřív!. Červ Amus vám sám řekne co
má na srdci - audio
soubor vám sám odmajluje... (kromě toho také občas maže ini a dll soubory )
→ weblog
Strach z nezaměstnanosti? ++
[10.9.2004 9:00] V nových variantách Mydoom (U, V a W) je ukryt text
"We searching 4 work in AV industry.".
→ weblog Co myslíte, chytí se?
[13.9.2004 15:15] Podle analytiků z Computer Associates by současný vývoj
nových variant MyDoomu mohl znamenat že crackeři zkoušejí nové techniky a že by to
mohlo vyústit v nový rozsáhlý útok... přes víkend naštěstí k ničemu významnějšímu (v oblasti
virů) nedošlo... →také
Živě.
[15.9.2004 16:50] Mydoom.Y obsahuje snímek Svena Jaschana, autora červů
Sasser a Netsky, a svůj popis.
Ne že by se nic nedělo...
[1.9.2004 9:00] ale v poslední době (vyjma planého [naštěstí!] poplachu
o možném útoku na internet) byl poměrně klid (samozřejmě se objevovaly nové varianty
starších virů i některé nové viry - podrobnosti naleznete, pokud o ně máte zájem, na stránkách AV
firem). Například včera se objevily nové verze Bagle - AK a vzápětí další mírně
modifikovaná; v předmětu i těle majlu mají foto, obsahují archiv foto.zip
v němž je html soubor a soubor file.exe (v druhém případě cacl.exe)...
kdo si klikne ten se má
Výročí internetu
[31.8.2004 17:15] Podle řady lidí bude mít zítra Internet 35 let (tj. 1.9.
- začátek Arpanetu); podle některých jiných měl 1.1.2003 teprve 20 let (tehdy Arpanet přešel
na protokol TCP/IP). → A
Closer Look At The Controversy Over The Internet's Birthday!. Rozdílný názor nevadí, obě výročí
jsou úctyhodná...
Zátah na spammery
[26.8.2004 17:45] V USA bylo zatčeno přes sto spammerů
→ DigiWeb.cz
... uvidíme kolik spamu tedy ubude
[27.8.2004 12:15] nejen!
(tisková zpráva DOJ)
ale i lupičů osobních dat, hackerů a šéfů objednávajících si internetové útoky proti konkurenci
→ F-Secure
→ DigiWeb.cz
Díra v bezpečnostním centru SP2
[26.8.2004 16:00] Podle zprávy (PC magazín, 25.6. - ověřeno red. PCM) je v Windows Security Center (který zavádí
SP2) lochna jak Brno... umožňující škodlivým programům jednak nepravdivě informovat
uživatele o stavu systému, dále systém nepozorovaně poškodit...
Elektronický džíhád ?!?
[25.8.2004 14:15] S odvoláním na
článek
na Russian News & Information Agency
informují SANS
a F-Secure
o Kasperského předpovědi možného
masivního útoku islámskými teroristy na internet ve čtvrtek 26.8.
[19:15]
No podle
NTBugtraq [1] může spíš jít o špatné pochopení (interpretaci) diskuze na tiskové
konferenci věnované kyberterorismu a spamu. Jinak Kaspersky předpovídá konec Internetu už
delší dobu (hlavně kvůli spamu)
[1] který cituje reakci Kaspersky Labs
na (jím vlastněném) viruslist.com
Řekněte "sýr"
[25.8.2004 9:30] Jak nedávno informoval Sophos
červ Rbot-GR
mimo jiného dokáže vidět a slyšet co se děje u vašeho PC (pokud tedy máte kameru a mikrofon ;-)
Raději se tedy usmívejte a mluvte slušně :-))
→ DigiWeb.cz.
Jeden šikulka (o němž se ví ;-)
[24.8.2004 10:00] 70% napadených PC bylo podle starší zprávy [1]
AV firmy Sophos
infikováno červy Sasser a Netsky, jejichž autorem je německý Sven Jaschan (19;
je ve vazbě, přiznal se!) - viz též stručné info nebo
podrobnější rozbor.
[1] (analýza za 1. pololetí 2004)
O co jsem "přišel" během dovolené :-O
[23.8.2004] +++ Zřejmě o řadu poplachů:
některé způsobené slibnými starty nových variant virů (červů), jiné ... ;-)
Symantec označil 2 události stupněm nebezpečí
3
- Beagle.AO (9.8.) a Mydoom.Q
(16.8.)...
Igi se na svých stránkách
zmiňoval o nové variantě Bagle (10.8. - email "new price":
po "úspěšném" startu se podařilo odstavit web z něhož se stahovaly další části červa
potřebné pro jeho šíření); a o nové variantě Mydoom (16.8. email "Photos": měl
omezenou životnost do 20.8.!)...
F-Secure se ve svém blogu
(News from the Lab) zmiňoval
(4.8.) o souvislostech rodin červů Mydoom a Evaman a o nové variantě Mydoom;
(5.8.) o novém backdooru Brador pro zařízení PocketPC založených na procesoru ARM;
(9.8.) o dlouho očekávaném Service Pack 2 pro Windows XP[1,3,4] (protože všechno souvisí
se vším a SP2 má řadu zlepšení z hlediska bezpečnosti a ochrany proti virům - zatím je
ale dostupný pouze v anglické verzi![2]); verzi Bagle.AL (poplach úrovně 2);
(10.8.) o novém viru pro hromadné šíření pošty W32/Cali.A; připoměl roční výročí
červa Blaster (Lovsan);
(11.8.) o trojanizované (tj. upravené tak, že obsahuje trojana) verzi hry Mosquitos
pro mobily založené na Symbianu tajně posílající SMS na drahá čísla;
(12.8.) 19ti letý Jeffrey Parson se doznal k napsání varianty červa Blaster.B
(téměř rok poté, co se 13.8. začala šířit původní verze červa Blaster) -
viz též;
o nové chybě Bluetooth pro PDA;
(16.8.) o nové variantě Mydoom.S;
(17.8.) o docela úspěšném šíření Mydoom.S;
(18.8.) o hoaxu T-Virus na mobilech (SMS které je součástí marketingové kampaně
nové hry Resident Evil; vyčištění webů které využíval Mydoom.S pro instalaci
spam proxy na napadených PC;
(19.8.) o problémech způsobených SP2 pro Windows XP;
(23.8.) o viru Cabir pro Symbianové mobily (Nokia, Siemes, Panasonic a Sendo) -
údajně se objevil "in the wild" - doporučuje se na mobilech vypnout Bluetooth!!!
Pozn.: [1] a už je i první záplata pro SP2 :-)
[2] česká verze má být v polovině září
[3] MS zveřejnil seznam programů, které po nainstalování SP2 nepoběží (vůbec nebo jen s
otížemi) [4] IBM svým zaměstnancům doporučuje zatím SP2 neinstalovat ;-) ...
Střípky z SANS Handler's Diary
chyby v Opeře umožňující phishing; upgrade produktů Mozily; chyba přetečení v AOL IM;
nové trendy v phishingu; chyby v Acobat Readeru; možné problémy zařízeni Cisco používající
IOS; odkazy na anit-spywareové nástroje; nový červ Download.Ject; nový scam předstírající
odeslání žhavé zprávy o akciích které mají růst na špatnou adresu; úvod do bezpečnosti
sítí
An Introduction to Learning About Network Security
Kaspersky Labs oznamuje novou službu: hodinové aktualizace
antivirových databází!
(12.8.)
Problémy se Service Packem 2
17. 8. 2004: Byla nalezena
problematická místa
v posledním Service Packu Windows XP. Vbrzku se dají očekávat zneužití novými
viry.
Ratos.A/Mydoom.S
16. 8. 2004: Nová verze viru Mydoom. Podrobnosti na
www.viry.cz nebo
www.zive.cz.
Windows XP Service Pack 2
8. 8. 2004: Vyšel
druhý
servisní balíček pro Windows XP.
Oh Mydoom!
[28.7.2004 10:30] Že byste to nečekali?!? Mydoom.M jen připravoval půdu pro
druhou fázi DoS útoku na doménu microsoft.com... Autor červa
Zindos
je - podle stylu programování - stejný :-)
→ Handler's Diary
→ News from the Lab
→ Živě
[27.7.2004 9:30] Okurková sezóna a prázdninový poklid nemají dlouhého
trvání... Mydoom.M, který se začal
šířit v pondělí 26.7., označuje AV firma Symantec nejvyšším stupněm nebezpečí 4
(jiné firmy jsou zatím klidnější).
Kromě již běžných činností spojených s šířením a napadáním dalších strojů obohatili
vynalézaví autoři této varianty další metodou generování majlových adres pomocí vyhledávání
na portálech Lycos, Google, Altavista, Yahoo a dalších, které tím účinně
sráží na kolena... Největší problémy měl Google, který byl v noci převážně nedostupný...
→ News from the Lab
→ stručně (Igi)
→ Živě
→ popis (Živě)
10 nejškodlivějších programů (malware)
[26.7.2004 15:45] McAfee AVERT (Anti-virus and Vulnerability Emergency Response Team)
zveřejnil seznam deseti nejškodlivějších programů (virů, červů, trojanů,
spyware) za první polovinu roku → Yahoo! News → Živě:
Exploit-MhtRedir.gen (alias Download.Ject nebo Scob)
VBS/Psyme
Adware-Gator
Adware-180Solutions
Adware-Cydoor
Adware-BetterInet
W32/Netsky.d@MM
W32/Netsky.p@MM
W32/Netsky.q@MM
W32/Mydoom.a@MM
Můžete srovnávat s podobnými tabulkami jiných AV společností - aktuální odkazy jsou
uvedeny níže.
Obrázek Usámy bin Ládina
[26.7.2004 10:30] Údajný obrázek Usámy bin Ládina po sebevraždě je ve
skutečnosti trojský kůň Hackarmy... pokud přes všechna varování na nejrůznějších
fórech na tento link kliknete, dobře vám tak ;-) vaše PC už nebude vaše, bude ovládáno
a zneužito k útokům na jiné PC a servery, šíření spamů a škodlivých programů...
→ Živě
→ ZdNet UK
Bagle +
[21.7.2004 12:00] Bagle.AI se chová podobně jako Bagle.AF
Popis a rozbor najdete např. u Igiho
[16.7.2004 14:15] Očekávané nové varianty - odvozené ze zveřejněného
zdrojového kódu, o čemž jsme nedávno informovali (→ archiv,
ZDNet UK) - se začínají objevovat: nákaza Bagle.AF
propukla v noci z 15. na 16.7., začátek vypadal zle, ale po počátečním celosvětovém
náporu (autor rozeslal vir - pomocí prostředků pro šíření spamu - dlouhému seznamu
adresátů, aby odstartoval jeho masové šíření) se situace uklidnila; F-Secure
neočekává větší problémy. → News from the Lab
Článek na Živě se zabývá zdánlivě jinou variantou Beagle.AB - to je ale jen jiné pojmenování téže havěti (Symantec).
Další rozbor najdete např. u Igiho
První vir pro PocketPC
[19.7.2004 9:20] sice jen jako zkušební vzorek (proof-of-concept ;-) ale přece!!! Kromě PDA může fungovat
i na mobilech založených na ARM verzi PocketPC...
→ News from the Lab;
pěkný souhrn si můžete přečíst na
Igiho stránce o virech; je tam i
odkaz na jeho interview s (českým!) autorem tohoto viru.
Existuje aplikace bez chyby přetečení bufferu?
zdá se že ne :-(( Podle čerstvých zpráv tato chyba postihuje i produkty Adobe:
jak Acrobat 6.x, tak Reader 6.x
→ Secunia
→ Živě... Stáhněte si aktualizaci na verzi
6.0.2 (angl.!).
MS Word - předběžné varování
Jakýkoliv odkaz (URI) v MS Wordu 2002 (a MSN Messengeru 6.x) pokládejte za
potenciálně nebezpečný (bez bližšího prozkoumání), zvláště začíná-li "shell:" ...
Jde o obdobnou chybu jako u Mozilly (viz níže);
→ Secunia, → actinet, → root, → Živě
Service Pack 2 pro WXP
Další odklad, tentokrát na srpen... :-( Chcete-li se mezitím podívat oč (zatím)
přicházíte, máte na výběr mezi řadou zdrojů: článek M$ Changes to Functionality in Microsoft Windows XP Service Pack 2,
článek v ZDNet,
článek (s řadou dalších odkazů) v Živě ... Pěkné počtení!
Záplatujte Mozillu, Firefox a Thunderbird!
nechcete-li aby vám někdo kvůli chybě zpracování linků spouštěl závadné programy -
byly již uvolněny novější verze (→ eWeek) -
k stažení například zde: Mozilla 1.7.1 Firefox 0.9.2 Thunderbird 0.7.2
Útok na servery IIS
Postupně (již od 20.6.) se šíří útoky na servery IIS (změněné stránky bank, webových
aukcí, stránky pro srovnávání cen). Stopy vedou ke spammerům a vykradačům bankovních
účtů (nová technika šíření a instalace spamware a keyloggerů
zneužitím dosud neopravených chyb Internet Exploreru -
trojan downloader Scob alias Download.Ject) a na jakýsi ruský
server. SANS a AV společnosti problém intenzivně zkoumají (pod označením
RFI - Russian IIS Hacks), zatím ale není znám způsob prvotní nákazy, jen
mechanizmus jejího dalšího šíření. Jako dočasné řešení je doporučováno použití jiných
prohlížečů jako je Mozilla nebo Opera ... Shrnutí dosud dosažených výsledků naleznete
např. v článku na Živě. Podrobný rozbor tohoto malware je v dokumentu
výzkumníků SANS
Microsoft zveřejnil (2.7.) mimořádnou opravu
(tisková zpráva). To je ale vpodstatě jen konfigurační změna pro
ActiveX, která vlastní problém jen obchází... Informace o detekci a nápravných opatřeních
jsou uvedeny v článku znalostní báze KB 871277
Informace Microsoftu o incidentu jsou zveřejněny zde
- jako tak často kdo včas záplatoval (Microsoft Security Bulletin MS04-011), tyhle problémy neměl...
Bagle
Kromě toho, že se objevují neustále další a další varianty tohoto červa ("Z", a nejen jeho,
ale i řady dalších!), objevil se (a po Internetu koluje) i jeho zdrojový kód.
Můžeme tedy dříve či později očekávat záplavu další infekce odvozené z tohoto vzoru,
tím spíše že zveřejněný kód (v assembleru!) je prošpikován vysvětlujícími poznámkami... :-(((
→ Živě
USA: 9 z 10 majlů je spam
zjistili v Messagelabs (globálně je to 76% majlů)... podle předpovědi (
Osterman Research, Inc.)
bude do roka (až roka a půl) 98% pošty spam (to je ale pesimistická
předpověď, optimistická je jen 95%). Podle
studie Commtouch Software Ltd nejvíce červnových spamů pochází z USA (55,7%)
a Asie (více než 20%:
Jižní Korea 10,2%; Čína 6,6%; Hong Kong 3%; Japonsko 2,5%). Nárůst spamů je enormní: z
350000 (začátek 2004) na 500000 po šesti měsících. Převažují nabídky drog (viagra a pod.) s 29,5%,
nabídky hypoték a žádosti o financování 9,7%, zvětšování orgánů 7% ... Pouze pět zemí
se z 99,7% podílí na webech uváděných v spamech - Čína 73,6%; Jižní Korea 10,9%;
USA 9,5%; Rusko 3,5% a Brazilie 2,2%.
→ Živě,
Internetnews
Nová varianta Lovgate.AE
se šíří poštou, lokálními a p2p sítěmi (RPC DCOM). Instaluje zadní vrátka a přejmenovává
všechny nalezené soubory EXE na ZMX. Pokouší se odpovídat na nepřečetnou poštu ve schránce
došlé pošty Outlooku a potom ji vymaže... jak milé, že?!? Vzpomínáte na
konspirační teorii (Mikko, analytik F-Secure, 9.3.04). Určitě se máme na co těšit ;-)
Další zatčení
Óscar López Hinarejos, 26 letý Španěl, autor viru
Cabrotor,
byl odsouzen k 2 letům vězení. -> La Vanguardia
Maďarští mladíci byli odsouzeni na dva roky podmíněně za napsání viru
Magold,
který se loni v létě úspěšně šířil po střední Evropě. ->
The Register.
Finská policie zatkla dvacetiletého mladíka a obvinila ho z napsání a šíření viru
VBS/Lasku
v lednu 2004... Vir se pokoušel šířit emajly ve finštině a při pokusech o
šíření havaroval ;-)
RBOT.CC
Podle analýzy výzkumníků SANS
institutu může být červ Rbot.cc upraven tak aby zneužíval množství zadních
vrátek (backdoor) která po sobě zanechali majloví červi MyDoom a Bagle a
jiné slabiny OS a aplikací. K šíření používá podobných mechanizmů jako Blaster
(chyba RPC DCOM), Nachi/Welchia (chyba WebDAV) a Sasser (chyba LSASS) ...
Korgo? Korgo!
Asi měsíc stará rodinka červů Korgo (viz archiv) se
útěšně rozrůstá - zatím je u varianty W. K šíření využívá starých známých
chyb LSASS (jestlipak záplatujete?!?). Nezapomínejte že Korgo krade hesla ke kreditním
kartám... kromě jiných nepravostí jako je příprava na útok DoS :-(( Dvě
varianty (tj. P a Q) nakazily řadu počítačů v několika společnostech...
Mobilní červ Cabir
je červ pro mobilní telefony pracující pod Symbianem (např. Nokia). Mezi mobily se
šíří pomocí Modrého zubu. F-Secure AV (Symbian Series 60) ho rozpoznává od 15.6.
Jako tak často, uživatel musí šíření (instalaci červa) aktivně napomáhat. Více na
weblogu F-Secure Antivirus Research Team.
A dvě nové zprávy: ta špatná je že Cabir dokáže infikovat všechna zařízení
užívající Symbian Series 60; ta dobrá je že zatím jde jen o vzorky z AV
společností (kterým je poslal autor!) a ne o viry odchycené "v reálu" (in wild) -
tedy zatím jde "jen" o ukázku možností ;-)
Přes 100000 bankovních kódů odcizeno
Podle
INQUIRERu
tajvanští hackeří odcizili od února 2004 neuvěřitelné množství důvěrných bankovních
dat pomocí trojanů zaslaných na min. 18 milionů el. adres (z 45 milionů získaných).
Tyto informace zneužili k přesunu odhadem několika milionů dolarů (NT).
Skutečný rozsah krádeží není znám; na účtech s nimiž bylo takto manipulováno je ale
uloženo přes 5,9 milionů dolarů (US).
Krádež zdrojového kódu
V souvislosti s krádeží zdrojového kódu hry Half-Life 2 v říjnu loňského roku
bylo v nedávné době zatčeno několik podezřelých v různých zemích. Pro krádež byl
pravděpodobně použit trojan Agobot, jehož autora německá policie před časem
zatkla. Více viz ZDNet
Špionáž proti on-line bankovnictví
Stále oblíbenějším sportem je špionáž - sběr dat o on-line bankovnictví
- například
Montp (Montp.F, TrojanSpy.Win32.Montp.f) sbírá důležité informace o účtech
a přístupu k nim (včetně hesel a PINu) řady bank, tyto informace předzpracovává a
pomocí FTP odesílá hackerovi. Mimo to zastavuje AV programy a firewally a pokouší se
stahovat jiné programy (aktualizace?!?) z FTP serveru. Pochopitelně svou činnost skrývá
pomocí stealth technik.
O vážnosti tohoto nebezpečí svědčí mj. doporučení F-Secure při infekci červem
Korgo: "Když jste byli infikováni Korgem, změňte hesla a zrušte své kreditní
karty - zvláště ty které jste užívali během posledního týdne. To není žert."
Multifunkční bestie
Občas se objeví vir (červ) využívající současně několik mechanizmů šíření. Poslední
novinkou tohoto druhu je Plexus, šířící se přes sdílené disky, majlem,
využitím bezp. děr LSASS a RPC DCOM... A tento dobrák si navíc otevírá zadní vrátka
do napadeného stroje :-(( a blokuje aut. aktualizace Kaspersky AV :-((( Jediná rada
je neustále aktualizovat systém, aplikovat bezpečnostní záplaty... a furt dokola!
Květen
byl podle vyjádření řady analytiků poměrně klidný měsíc (z virového hlediska :-)
Stále ale pokračují snahy využít chyby LSASS Buffer Overrun Vulnerability (MS04-011).
Červ Korgo má již variantu G, variantu F zařadil
Symantec do třetí úrovně stupně nebezpečnosti (ze čtyř).
Možné škody...
Podle studie A
Worst-Case Worm (Nicholas Weaver, Vern Paxson -
International Computer Science
Institute) by mohly škody způsobené červy s ničivým obsahem v nejhorším případě
dosáhnout 50 bilionů dolarů a více.
Škody způsobené viry
Největší škody napáchal (podle Computer Economics) Love Bug - 8,75 miliard
dolarů, druhý je MyDoom - 4 miliardy dolarů... viz
článek
na Živě.
Zatýkání pokračuje!
Minulý týden byl na Tajvanu zatčen Wang An-ping (30) a obviněn z napsání a rozšiřování
backdooru Peep... jde o čtvrté zatčení v serii zatýkání z posledních tří týdnů v
souvislosti s červy Sasser a Agobot (Německo), Randex (Kanada)
a backdoorem Peep (Tajvan).
Pošta: téměř 70% spamu a 10% zavirováno
Podle zprávy MessageLabs za duben 2004 bylo ze skenovaných 841,4 milionu
příchozích zpráv 67,6% (568,9 milionů) identifikováno jako spam. Podobně
9,47% (77,8 z 821 milionů) bylo zavirováno.
Další červi podobní červům Sasser
Využívají stejnou chybu jako Sasser a postupně se objevují. V neděli 23.5. Korgo,
v neděli 16.5. Bobax, v pátek 14.5. Kibuv, v úterý 11.5. Cycle...
Je zajímavé, že červi Sasser mají chybu - jejich FTP server, kterého užívají
pro vlastní šíření, má chybu přetečení, kterou využívají jiné infektory (červ
Dabber)...
Je zajímavé, že některé infektory ničí jiné (např. zmíněný Dabber) nebo se dokonce
pokouší instalovat opravy (SDBot.MD) nebo na ně alespoň upozorňovat (Sasser.E)
Další zatčení
Kanadská královská jízdní policie včera (tj. 26.5.2004) zatkla 16letého kanaďana a
obvinila ho z vytvoření červů Randex. O sítích vytvořených pomocí Randexu
je dokázáno že jsou prodávány spamerům.
Autor červa Sasser dopaden
Německá policie dopadla 18letého
autora
červa Sasser - přiznal se i k autorství červů NetSky...
Další varianta Sasser.E byla objevena těsně po jeho zatčení...
Kromě toho byl současně zatčen i autor (21letý) jiné rodiny červů - Agobot/Phatbot/Gaobot
(rovněž v Německu)... Pro zájemnce je tu pěkný článek o některých
dopadených autorech virů
Sasser
Jak se dalo očekávat, objevil se červ využívající (lépe řečenno zneužívající)
bezpečnostní chybu LSASS popsanou v Microsoft Security Bulletin MS04-011
z 13.4.2004. Ohroženi jsou všichni kteří tuto opravu dosud neaplikovali (chyba se
netýká Windows starších než W2K :-). Většina
AV programů už červa Sasser a jeho další varianty (aktuální je F
[úterý 11.5.2004]) rozpoznají a blokují.
Za povšimnutí stojí zkracující se rozdíl mezi zveřejněním chyby a jejím zneužitím:
zatímco v případě Blastera (srpen 2003) to trvalo 32 dní, teď už jen 18! Epidemie
stejných rozměrů se zatím naštěstí nekoná...
nicméně jsou i zprávy o masivním
napadení sítí některých korporací (např. v Německu, Británii, USA, Austrálii, kde
zanedbali instalaci opravných balíčků - mezi nimi i televizní sítě, nemocnice, banky, vládní úřady a
aerolinie - podrobněji např. weblog
F-Secure Antivirus Research Team nebo
wired news). Podle SANS se ale situace již uklidňuje - stupeň nebezpečí (výstraha)
byl změněn na normální (zelený).
ILOVEYOU - výročí
V úterý 4.5.2004 tomu byly 4 roky co se začal šířit červ Loveletter (ILOVEYOU), který byl
společně s Melissou mezi prvními hromadnými majlovými útoky. Kdysi, když majloví
červi byli novinkou, lidé vesele otevírali jakékoli přílohy... bohužel v tom často
stále pokračují... :-((
Netsky vyčerpal abecedu
Už ve středu 21.4. byla objevena varianta Z červa Netsky (objeven 16. 2. 2004
- tedy 26 variant během 65 dní; tedy průměrně 1 nová varianta každých 5 dní).
Bagle je u W (26.4.), Mydoom teprve u J (16.4.). Zdá se že se
tempo poněkud zmírňuje... viz
weblog F-Secure Antivirus Research Team.
Aktualizace: v úterý 27.4. přibyla nová varianta Netsky označená jako
AA, takže začíná dvoupísmenné označování! Mimochodem, dosud nejvíc variant
měl Agobot (též Gaobot nebo Phatbot) - přes 450!!
EarthLink: Průměrné PC má 28 zástupců spyware
Jak se píše v článku na
živě.cz (převzato z
ZDNet :-),
třetina z milionu PC oskenovaných ISP EarthLink obsahuje problematické varianty spyware.
V březnu se šířilo o třetinu více virů
Nejnebezpečnější byly některé varianty virů Netsky a Bagle, kterých vznikalo i
několik týdně a které se napadaly navzájem.
Po světové počítačové síti se v březnu šířilo přibližně 1200 různých virů, což je
téměř o třetinu více než v předchozím měsíci. Dominovaly takzvané červy, které
tvořily 90 procent škodlivých kódů, uvedla antivirová společnost Trend Micro.
Více v článku na DigiWeb.cz
Jak se šíří Netsky.V ?
Igi (převzato od Symantec
:-)
uvádí pěkné znázornění mechanizmu šíření červa Netsky.V.
Ticho před bouřkou ?!?
Delší dobu je podezřelý klid... Po březnové úrodě červů rodin Netsky a Bagle se
zdánlivě nic neděje. Nenechte se tím však ukolébat a pilně aktualizujte: Microsoft
vydal tři kritické záplaty (Security
Bulletin): MS04-011, MS04-012 a MS04-013 (a jednu "jen" s vysokým stupněm
závažnosti: MS04-014). V této souvislosti upozorňuje
CA
na chyby zvyšující zranitelnost MS Windows, kterých hackeři určitě využijí :-(((
Více v článku na živě.cz
Viry loni způsobily kolaps až 22% malých firem
Jak uvádí ČTK ve zprávě zveřejněné 29.3.2004 ve Finančních novinách
podle nedávné studie
společnosti McAfee Security stojí odstranění následků napadení PC viry firmu až
5000 eur (na PC). Podle této studie se škody zaviněné počítačovou kriminalitou
malým podnikům v západní Evropě (firmy s méně než 20 zaměstnanci; je jich skoro
14 milionů) pohybují kolem 22 miliard eur.
Podle průzkumu 500 takovýchto firem v Británii, Nizozemsku, Německu, Francii,
Itálii a španělsku napadly viry až 30% malých firem v Itálii, až 50 procent ve
Francii ... Přesto většina malých firem neaktualizuje AV programy :-((
Válka mezi NetSky a Bagle pokračuje
Vývojáři firmy F-Secure zjistili že válka mezi červy rodin NetSky proti Bagle
pokračuje, nově se rozšířila i proti rodině Mydoom. Poslední publikované přírůstky
(úterý 16.3. 16:45) o nichž je na blogu vývojářů zmínka,
jsou NetSky.N, Bagle.P, Mydoom.H... Zajímá-li vás historie vývoje těchto červů,
je tam také souhrnná tabulka jednotlivých variant - od 18.1.2004 do 15.3.2004
(zatím).
Aktuálně 29.3.: Bagle.V, Netsky.Q
Nove varianty viru jako na bezicim pasu!!!
V poslednich dnech vznika az nekolik novych variant viru Netsky, Bagle a Mydoom
denne. Kdo vyhraje valku? Dalsi informace na
Igiho strance o virech
a strankach AV spolecnosti...
Červ Netsky.D se šíří elektronickou poštou.
Infikovaný e-mail lze rozpoznat podle názvu přiloženého souboru.
Název může mít následující podoby:
your_website.pif, your_product.pif, your_letter.pif, your_archive.pif,
your_text.pif, your_bill.pif, your_details.pif, document_word.pif,
document_excel.pif, my_details.pif, all_document.pif, application.pif,
mp3music.pif, yours.pif, document_4351.pif, your_file.pif,
message_details.pif, your_picture.pif, document_full.pif,
message_part2.pif, document.pif, your_document.pif
Další informace např. na
Igiho stránce o virech
Dalsi varianta cerva Netsky: Netsky.C
Zatim se sice nedostala na bodovane pozice zebricku "Top ten"
Messagelabs,
mezi pribuzne Netsky.B, Mydoom, Dumaru, Sobig a dalsi, ale ma nadeji, teprve
zacina ;-)
Krome oblibeneho sireni postou se snazi sirit i pres sdilene disky.
Vice napr. na
Igiho stranka o virech,
Symantec Security Response
Cerv Bizex/Blizex - novy cerv vyuzivajici chyby v ICQ a IE !!!
Podle informace z Kaspersky Labs zpusobil novy cerv Bizex prvni globalni
epidemii mezi uzivateli ICQ: prvni odhad je 50 - 100000 infikovanych PC.
Infekce se projevi po navsteve hacknute stranky jejiz adresa je poslana jako
zprava ICQ:
http://www.jokeworld... :)) LOL
Podrobnosti: napr.
Igiho stranka o virech,
Kaspersky Labs
Virus Win32/Mydoom.A (Novarg)
Po světě se velkou rychlostí začal šířit nový virus
Mydoom aka Novarg. Šíří se prostřednictvím elektronické pošty, v příloze
je soubor o délce 22528 bajtů.
Po spuštění infikovaného souboru se virus usadí v souboru
shimgapi.dll a taskmon.exe.
Univerzitní antivir by měl šíření prostřednictvím pošty zamezit,
ale pošta na jiných serverech (seznam, volny apod.) tuto ochranu mít nemusí.
Základní principy, tj. nespouštět neznámé programy a trvale udržovat
aktuální datovou bázi antivirového programu, stále platí a šíření
tohoto viru zabrání.
Podrobnosti: CERT Advisory CA-2004-02:
Email-borne Viruses