Sziasztok, van egy kis problémám:
CD-írás közben a McAfee vshield begerjedt, hogy vírussal fertőzött fileokat talált, amivel a CD-t lényegében hazavágta. Ezután persze csináltam egy scan-t a teljes gépre, ekkor nem talált semmit. Az AntiVir/NT sem lelt a kérdéses helyen vírust. Mi lehet a hiba oka?
Nem hiszem, hogy érdekes lenne. Saját tapasztalataink szerint a legtöbb gondot továbbra is a Nimda és a Sircam okozza (ill. ezek mutációi), néha egy-két régebbi vírussal fűszerezve.
Nem tudom, hogy érdekes lehet-e, de most olvastam:
Bin Laden vírus
Claiby, 2001.10.24. 19:50
Dél Koreában feltűnt egy új e-mailen keresztül terjedő vírus. A neve: Osama Bin Laden
Egy felhasználó figyelmeztette az Ahnlab nevezetű vírusirtó programokat fejlesztő céget. Az illető elektronikus levélben kapta meg a vírust. Az Ahnlab szerint a fertőzés nem okoz adatvesztést, viszont lelassíthatja a számítógép működését és kiszivárogtathat adatokat a gépből a hálózaton keresztül. Arról egyelőre nincs elképzelése a cégnek, hogy ki készíthette a mail küldözgető féregvírust.
Azokat az üzeneteket ne nyissuk meg melyek tárgya a következők egyike, vagy hasonló:
Bin Laden toilette paper!
Sadam Hussein & BinLaden IN LOVE
Is Osama Bin Laden BAD-LOVED?
Kettő hete kezdtük meg a Sygate Personal Firewire (ingyenes tűzfal) tesztelését, a Ti javaslataitok alapján. Eddig a ZoneAlarm-ot és az AtGuard-ot használtuk. A teszt alapján kijelenthetjük: nagyon jól bevált, megbízható program, egyszerű a kezelése, bátran ajánljuk mindenkinek. Olyannyira megtetszett, hogy ezt fogjuk a továbbiakban is használni a tesztgépen. Ha igény mutatkozik rá, akkor írunk hozzá egy rövid magyar használati útmutatót. Oldalainkról (vagy a gyártótól) letölthető.
Nem a vírusirtókat kívánjuk így tesztelni, hanem a felhasználókat :-)
Mókát félretéve annyi értelme lett volna a dolognak, hogy "kézzelfoghatóvá" váljon a vírusleírás, azaz a felhasználó találkozzon egy "kinézetre" vírusos mail-lel azért, hogy éles támadás esetén ismerős legyen neki a levél, és ne nyissa meg ész nélkül. Az itt felvetett problémák miatt azonban valószínűleg maradunk a képernyőképeknél.
Nem sok ertelme van ilyen modositott levelek kuldesenek, ugyanis egyik komoly virusvedelem sem a levelek cimsora vagy a melleklet neve alapjan donti el, hogy a level virusos-e, hanem a melleklet elemzese alapjan. Ha pedig az nem virusos, akkor nem fogja a levelet virusosnak jelezni.
Ez legfeljebb a sajat kezuleg osszebuheralt levelszuroket tesztelheti, de nem hiszem, hogy ez lenne a cel.
Ha mindenaron ilyen teszteket akarsz csinalni, akkor figyelmedbe ajanlom a standard EICAR virus teszt fajlt, ami virust nem tartalmaz, de kozmegegyezes alapjan, eppen a viruskeresok tesztelese celjabol, szinte minden viruskereso fel fogja ismerni, es ugy fogja kezelni, mintha igazi virus lenne.
En maradnek a B megoldasnal, mert veszelyes lehet a virusszimulacio (valaki esetleg kicserelheti az attachmentet, a gyanutlan felhasznalo meg szepen megnyitja, gyanakvas nelkul...)
Ettől tartunk mi is, igazából ezért nem indult még el a dolog.
A jelenlegi elképzelés szerint megmaradna az eredeti subject és az eredeti levéltartalom (egy kiegészítő, elkülönülő alsó sorral, amelyben 2-3 nyelven jeleznénk, hogy a vírus nem igazi, és a levél ismeretterjesztő célból készült), megmaradna a csatolt rész kiterjesztése, viszont maga a csatolt file egy teljesen ártalmatlan, saját készítésű exe lenne, aminek semmiféle köze nincs a vírushoz. Az egész dolog tehát lényegében egy szemléltető, demonstrációs eszköz lenne, a vírusirtók pedig természetesen nem találnának semmit.
A "álvírusos" leveleket csak külön kérésre, regisztráció és visszaellenőrzés után, az ott megadott címre küldenénk el.
B lehetőség: csak képernyőképeket teszünk fel a web-oldalra, saját gyűjtéseinkből :-)
"Tervezzük vírusszimuláció kérési/küldési lehetőséget is..." Nekem, mint mezeijúzernek tetszik az ötlet, bár nem egészen értem a megvalósítás módját.
Kiherélt igazi vírusokat küldözgetnétek, amelyekre pl. a vírusirtók rábukhatnak, vagy játék vírust kreálnátok és feltennétek attachement-ként ÍgyLökikaNejed.doc.z69 formátumban, "Bebebeee, Április Bolondja!" tartalommal?
Mindenesetre tartok tőle, hogy a humortalanabb kollégák a hintőporos műanthrax levelek analógiájára a fejeteket fogják követelni rémhírterjesztésért és/vagy közveszéllyel való fenyegetésért, a méghülyébbek pedig puszta jóindulatból hoaxot indítanak "Új vírus jelent meg NEJED névvel, amely előbb letörli az összes .dll-t a gépedről, aztán FORMAT C-t csinál, és tönkreteszi a modemedet, végül 3 példányban elküldi a legtitkosabb adataidat az APEH-nek és a szeretőid férjének/feleségének" Szóval jól át kéne gondolni a megvalósítást!
Üdv:
Bedros®
Riched*.dll még mindig. Néhány vonatkozó forrás, avagy variációk egy témára :-)
"(...) to Windows system directory with the name RICHED20.DLL (and overwrites the original file by the same name)" -- http://www.kav.ch/avpve/worms/email/nimda.stm
"Once found, it will drop a hidden file called RICHED20.DLL to any directory which has DOC and EML files. When other users try to open DOC or EML files from these directories, Word, Wordpad or Outlook will execute RICHED20.DLL causing an infection of the PC." -- http://www.europe.f-secure.com/nimda/nimda.shtml
"Existiert die Datei "riched.dll" im Systemverzeichnis mit einer Länge von genau 57344 Bytes, so ist auch dies eine 1:1 Kopie der "readme.exe" und ihr System kompromittiert." -- http://www.cert.dfn.de/infoserv/dsb/dsb-2001-01.html
"The virus copies itself into the Windows directory with the filenames load.exe and riched20.dll (both have their file attributes set to "hidden"), and attempts to spread itself to other users via network shares." -- http://www.sophos.com/virusinfo/analyses/w32nimdaa.html
"The worm then infects executables, creates itself as .eml and .nws files, and copies itself as Riched20.dll in folders that contain .doc files on the local drive." -- http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
A virusbusteren (http://www.vbuster.hu/cgi-bin/vlab/virus.cgi?fn=data/hu/i-worm.nimda) ez olvasható: "További másolatot készít magáról a rendszerkönyvtárban RICHED32.DLL néven, rejtett és rendszerattribútumokkal ellátva."
---------------------------------------
A fenti variácók alapján tehát nehéz korrekt leírást adni arról, hogy pontosan mit is csinál a Nimda Riched*.dll ügyben... Tovább nehezíti a dolgot a különféle alváltozatok eltérő működése. Nekünk az a véleményünk, hogy az átlagos felhasználó szintjén nem is annyira a pontos mechanizmus megértése a lényeges, hanem az, hogy a felhasználó időben felismerje a veszélyt, ne nyissa meg a vírusos levélmellékleteket, ill. ha mégis beszerzi a fertőzést, akkor legyen valamilyen hatékony eszköze a detektálásra és az eltávolításra. Ennek ellenére a gyakorlottabb, mélyebb ismeretekkel rendelkező felhasználók kedvéért linkelni fogjuk az eredeti változatokat is, lehetőleg egy-egy témából több hivatkozást is.
PS.: Tervezzük vírusszimuláció kérési/küldési lehetőséget is, azaz a regisztrált felhasználók saját címükre kérhetnek majd olyan levelet, amely teljesen úgy néz ki, mint egy eredeti vírusos levél, viszont a végrehajtható csatolt állomány nem fertőz, nem terjed, és csupán egy figyelmeztető feliratot ír ki. Szerintünk ez hasznos azok számára, akik még nem találkoztak "élesben" egy-egy új vírussal. Mi a véleményetek erről?
>Tovább terjedni pedig csak oda tud, ahova egyébként az adott felhasználó írni tud (szerver,
>ÍRÁSRA megosztott gépek).
Ez igy igaz is lenne, ha a Windows rendszerek nem osztanak meg alapertelmezesben az osszes meghajtot, koztuk a rendszermeghajtot is, meghozza jelszo nelkul. Ezt persze altalaban nem lehet latni a megosztasok kozott, de egy net share parancs kiadasa felfedi. Es vannak virusok, mint pl. a Nimda is, amik ezeket a megosztasokat tudjak kihasznalni arra, hogy a lokalis halozaton szetterjedjenek.
Üdv!
A félreértések tisztázásához...
A rich text formátumot használó alkalmazások, mint például a Microsoft Word és Wordpad, a RICHED20.DLL fájlt használják.
Létezik tehát RICHED20.DLL fájl, a WINDOWS SYSTEM könyvtárában, és ezt írhatja felül a vírus. Ezután a vírus már az RTF fájlokat használó alkalmazások futtatásakor is terjed.
Fr
"A mostani félreértésből tanulva a fenti bizonytalanságok csökkentése érdekében ezentúl mindig belinkeljük az eredeti forrás(oka)t is."
Hát az mondjuk nem árt, mert nagy bajokat lehet okozni egy téves vagy félinformációval. Nálam fordult elö a levlistámon (aminek semmi köze az informatikához), hogy valaki továbbitott a listára egy levelet, hogy a valamilyen file a windows könyvtárban virus file, erre néhányan örültmód kitörölték azt a file, és nagy boldogan jelezték, hogy megszabadultak töle, minekutána kiderült, hogy az volt felelös asszem a magyar ékezetes karakterekért...
A Centrum leírásában az ominózus sor így hangzik:
"Emellett találunk egy RICHED32.DLL-t is rejtett fájlként, szintén a rendszerkönyvtárban."
Az információ korrekt, egyetlen apró részletre azonban figyelni kell: a dll eredeti helye ott van, ahol a winxx egyébként is tárolni szokta ezeket, azaz pl. a c:/windows/system könyvtárban. A Nimda viszont csinál róla egy fertőzött, rejtett attributumokkal rendelkező másolatot a (fenti példánál maradva) c:/windows-ba. Mivel a két azonos nevű dll közül az utóbbit találja meg először az op.rendszer, így ez hajtódik végre, tehát hiába korrekt az eredeti, c:/windows/system-ben található fájl, a vírus támadni fog.
Az eredeti forrásunk a c:/windows könyvtárat mint "default system directory"-t említette, ezt fordítottuk rendszerkönyvtárnak (ami tehát nem a c:/windows/system-et takarja!).
A leírások úgy készülnek, hogy -- saját tapasztalataink továbbadásán túl -- az eredeti, általunk mértékadónak tekintett ny-európai, amerikai forrásokból fordítunk, kiküszöbölve a másod-harmadközlésekből adódó pontatlanságokat. Ezek a referenciaoldalak azonban meglehetősen részletesek, bonyolult nyelvezetűek, szakembereknek íródnak. Nekünk tehát úgy kell eljárnunk, hogy egyszerűsítsünk is, de a lényeg is maradjon meg torzítatlanul. Ennek következtében eleinte előfordulhat, hogy nem leszünk teljesen egyértelműek és/vagy következetesek. Köszönjük ezért az ilyen jellegű visszajelzéseket: próbálunk kialakítani egy olyan nyelvezetet, amit mindenki ért, ami mindenki számára követhető és triviális.
A mostani félreértésből tanulva a fenti bizonytalanságok csökkentése érdekében ezentúl mindig belinkeljük az eredeti forrás(oka)t is.
Most telepítettem 0-ról a gépem és nekem is van riched.dll riched20.dll és riched32.dll a system könyvtáramban.
Most néztem meg a Win98 install 37-es (SE 40-es) cab-jában található. Ézek pedig a gyári MS CD-n. Végkövetkeztetés, ezek a fájlok a rendszer részei, a virus csak lecseréli vagy beleír. Ha az írtó nem jelzett ill. nincsen *.eml fájllal tele a vinyód, akkor nyugi!
Hát az gond. Ezen fajlok jelenlete Nimdara utal. A vírusok kiszámíthatatlanok, lehet hogy napokig nem csinálnak semmit, majd format c:(
Én az andocsek.hu-ról szedtem le a removert az bejött és letörölte a nem kívánatos dll fileket és azóta nem is jöttek vissza...
Utána viszont lesz egy kérdésem, inkább most leírom, amíg el nem felejtem.
Az "Andocsek" lapon a Nimda fertőzés egyik ismérveként írtátok, hogy a vírus elhelyez a rendszerben egy "RICHED32.DLL" file-t.
Nos, az én vírusirtóim már fogtak Nimdát, de úgy tűnt, szájon kapták, még mielőtt kárt tett volna, utána leellenőriztem az egész HD-t, eredmény: 0 viruses found. Ennek ellenére a kereső talált a \SYSTEM-ben (212 kB) és a \OPTIONS\CABS-ben (199 kB) is RICHED32.DLL-t. A dátum egy-egy régebbi újratelepítésé (01.06.08, 01.03.28).
Volt akkor már Nimda?
Van baj?
Szerencsére nem néz ki veszélyesnek (bár van már belőle A és B változat is). Azért ízelítő a subject-ekből, hogy mit nem kell megnyitogatni:
"FW: Security Update by Microsoft."
"FW: Microsoft security update."
"FW: IT departments on state of HIGH ALERT."
"FW: Important news from Microsoft."
"FW: Stop terrorists computer viruses reign."
"FW: Terrorists release computer virus."
"FW: Emergency response from Microsoft Corp."
"FW: Terrorist Emergency. Latest virus can wipe disk in minutes."
"FW: Microsoft Update. Final Release Candidate."
"FW: New computer virus."
illetve
"Kev Gives great orgasms to ladeez!! -- Kev"
"hell is coming for u, u will be sucked into a bottomless pit!!! -- Gaz"
"Scientists have found traces of the HIV virus in cow's milk...here is the proof -- Will"
"Yay. I caught a fish -- Si"
"I don't want to write anything but Si is bullying me. -- Jim"
"I want to live in a wooden house -- Arwel"
"Michelle stil owes me Ł10 ... shit ! -- Si"
"Why have I only got cheese and onion crisps ? I hate them!! -- Si"
"A new type os Lager / Weed variant...... sorted !"
"My dad not caring about my exam results -- by Michelle"
"PC-NK BIZALMAS ADATOKAT IS KÜLDHET A MICROSOFTNAK
Az amerikai Energiaügyi Minisztérium közleménye szerint az IE5 és az október végén érkező Office XP azon funkciója, mely a fellépő szoftverhibákra vonatkozó adatokat küldi el a Microsoftnak, aktivizálódásakor a gép memóriájának aktuális tartalmáról is információt továbbít. Ez pedig számos dolgot tartalmazhat, többek közt az éppen
megtekintett vagy szerkesztett dokumentum tartalmát is."
Jut eszembe a W98SE CriticalUpdate-ja mi a francért akar 5 percenként kommunikálni az anyjával? Ilyen gyorsan fejleszt a M$?
