VIRUS ALERT: 3 bucati noi-noute:

[Tyby]

Threat: W32.Welchia.B (rated cat 2/5)
INFO: http://www.symantec.com/avcenter/venc/d ... hia.b.html

Threat: W32.HLLW.Doomjuice.B (rated cat 2/5)
INFO: http://www.symantec.com/avcenter/venc/d ... ice.b.html

Threat: W32.Dumaru.AH@mm (rated cat 2/5)
INFO: http://www.symantec.com/avcenter/venc/d ... ah@mm.html


PS: pentru cine doreste, am setat un mail-list special pentru clienti si prieteni ... eu, de obicei, sunt somnanbul ... si am si catziva mai caposi prin categoriile de mai sus ... La fiecare aparitie mai "delicata" in jungla, trimit un mesaj cu infos / links importante.

lista este: virusalert@hardnet.ro
web page: http://virusalert.hardnet.ro

Gasiti pe web-page informatii despre SUBSCRIBE / UNSUBSCRIBE. Lucrez la un front-end pe baza de date cu inscriere / dezinscriere automat pe web-page, precum si cu latest infos ... sper sa am timp sa-l termin zilele astea.

Incerc sa fiu mai eficient decat alte liste de virus-alert, unul din motive fiind ca am cativa care, daca nu citesc respectivele, ma pot pune pe drumuri (si nu imi vine sa fac cateva sute de kilometri la fiecare virus nou).

Doritorii sunt bineveniti ... Free, of-course!

[tapirul]

intrebari
1. constat ca avalansa de wormi si virusi e din ce in ce mai mare (sau mai vizibila). Problema este ca solutiile sunt in general costisitoare (ma refer la megabytes), pentru fiecare worm existand cate un tool (updater or other) de cate cativa megabytes. Simt ca daca as sta sa downloadez toate tools de pe symantec.com de exemplu, dial-up-ul meu ar fi pe foc continuu si numai pe treaba asta. Cum pot iesi din dilema asta?

si 2, apropo de update, produsele postate in postul anterior plus cele de pe mail-list-ul lui gaurika sunt produse symantec - pentru NAV and like. Io nu am NAV acum, am eTrust EZ antivirus (varianta combinata cu furewall, a fost recomandata calduros). Care ar fi sfatul, sa trec back la NAV sau sa folosesc update-ul lui EZ sperand ca cuprinde si chestiile astea?

[sl0bizz]

E cam pierdere de timp, aia care citesc lucruri dintr-astea deja stiu sa nu deschida atasamente - ma refer si la anunturile de aici, si la lista de pe hardnet. Ca sa nu mai spun ca un sistem, o data infectat, nu mai e sigur niciodata - cine are nevoie de "uneltele" symantec?
Back-up, format c:, dezinfectarea back-up-ului, daca are sens:
- deschizi un doc/xls in OpenOffice, macro-urile nu merg, il salvezi ca document OO
- daca e exe, mai bine lasa! aveam pinfi luat de la o firma de software mica, dar proasta, am "dezinfectat" installerul de Windows Media Player si de fapt semnatura digitala nu mai era valabila, deci EXEul era definitiv corupt.
- pdf-urile nu se infecteaza propriu-zis, infectia se raspindeste daca le descizi in Acrobat, nu si In Acrobat Reader.
- rar-urile nu se infecteaza de regula, pentru ca formatul lor e in continua schimbare si e in parte secret - niciodata un antivirus nu a tinut pasul cu versiunile de WinRAR, deci nici virusurile nu tin pasul.
- zip-urile sint in schimb cam la fel in timp si nici nu sint secrete; mai mult unelte de modificat zip-urile pot fi exploatate de virusi gratuit pe Windows XP
Nu stiu virusuri de MP3, ISO, BIN pe astea nu le sterg.
Privind astfel lucrurile, un sistem infectat este definitiv compromis, deci se poate trai facind scan online cu Bitdefender si daca esti virusat, ia-o de la capat.

[costin]

SP2 pt icspe va avea antivirusul incls. Made by M$. Anuntul a fost facut chiar de Bill, se pare ca isi pun mari sperante in el...

PS. Am vorbit urat cam mult, sa mai repar un pic: NSA lucreaza de zor la SELinux, un patch pentru 2.4 (inactiv de acum inainte) si 2.6 plus o colectie de tool-uri, care vor creste semnificativ securitatea linuxului. Spre exemplu se rezolva faza cu su (rusine sa imi fie, nu stiu cum) sau segmentele de memorie vor fi mult mai bine protejate. Kestia asta vine tocmai bine, pentru ca in ultimele luni a cam aparut ceva malware si pt pinguin.

[sl0bizz]

Stiam ca au cumparat softwin pentru a-l include in pachetele MSN, ca ISP-isti.

[Tyby]

slobizz ... mail-list-ul e facut pentru prieteni si clienti mai putin priceputi in ale computer-ului, cu intentia Direct si Majora de a fi informati ca A MAI APARUT ceva si de a se tine la curent cu definitiile de virusi, scutindu-ma pe mine de multa bataie de cap si sute de kilometri batuti aiurea (mi-ar fi practic imposibil sa bat aproape saptamanal drumurile spre Galati, constanta etc ca sa fac devirusari si recuperari de date ... ).

Stii ce-i culmea ... ca a inceput sa prinda experimentul (ma refer la clienti, unde datele au o importanta mult mai mare decat mp3-urile si kiturile din computerele prietenilor). I-am instruit ca atunci cand primesc email-ul de avertizare, sa beleasca bine okii si sa citeasca cu atentie macar partea de aspect si cea de protectie si sa actioneze in consecinta, daca nu vor sa ma vada (eventual sa mai si dea din colt in colt pentru cine stie ce documente importante, plecate aiurea in jungla in coada vreunui virusache). Si, evident, sa faca update-ul pe care il recomand in mesaj, indiferent ca sta o juma' de ora (or more) pe dial-up sa il dea jos ... (nu se mai pune problema de costuri vis-a-vis de risk).

Cu un computer izolat e destul de simpla treaba, cam asa cum spui tu, dar ce ma fac cu retelele mai mari care (inca) nu au optat pentru o solutie integrata gen corporate, la care sa am acces remote si sa pot lua eu masurile de rigoare?! Cei de acolo primesc email si stiu ca a mai aparut CEVA. RAU. si fac ce trebuie facut pentru a se proteja ...

Tapire: intr-adevar, mailing-listul se adreseaza in mare parte clientilor symantec, DAR - virusul odata aparut, nu tine cont de platforma AV folosita (ar fi culmea ). Astfel incat cand primesti email, stii ca e de rau ... si ca trebuie sa cauti la producatorul antivirusului pe care il folosesti o solutie de update.

Eu fac lista / announce-urile / posturile pe baza Symantec, pentru ca mare parte a clientilor au solutii Symantec, de la ei am suport, sunt destul de prompti in detectii / solutii de protectie rapida si, nu in ultimul rand, sunt familiarizat (bine chiar) cu formatul security alerts-urilor de la ei ... Iar web site-ul e facu cu destul de mult cap, au mirror metropolitan la downloads ...etc

PS: M$ au cumparat RAV, nu SoftWin ... just a piece of information ...

[Tyby]

au mai aparut 3 bucati, iar 2 si-au schimbat cat risk-ul:

http://virusalert.hardnet.ro/

3 03-01-04 W32.Netsky.D@mm

2 02-29-04 W32.Beagle.G@mm

2 02-29-04 W32.Beagle.F@mm

3 02-28-04 W32.Beagle.E@mm

2 02-27-04 W32.Beagle.C@mm


Inca un motiv sa ma folosesc de symantec. ... primele doua bucati de mai sus inca nu sunt pe nici unul din site-urile celorlalti producatori: McAfee, Kaspersky, trend, CA, etc ... Doar pe Softwin (BD) apar ... cam tarziu raspunsul "greilor"

[sl0bizz]

Nu stiu cu ce ma contrazici. Mai trebuia adaugat ca antivirusul meu se updateaza automat in fiecare vineri si ca antivirusul nu prinde virusi vizibili cu "ochiul liber", mai curind ii prinde SpamBayes.
Daca gashca tine neaparat sa foloseasca atasamentele, se face un smtp/pop3 local si cu antivirus pe el. Nu toate calculatoarele trebuie sa ruleze antivirus daca ruleaza un AV deshtept pe gateway- pe la vreo 50 de calculatoare in retea, se amortizeaza diferenta de pret.
Iar astia sint virusi piratzi, nu se pun cu CodeRed, Nimda si, nu in ultimul rind, Blaster. Practic astia sint virusi de om sarac: nu am gasit nici o vulnerabilitate in Win pe care sa fiu suficient de competent s-o exploatez, ia sa exploatam cea mai mare vulnerabilitate - bipedul din fata calculatorului; trimitem 10 mailuri HTML, care imita site-ul amazon, si vreo 9 destinatari o sa vrea sa cumpere cartzi. Cred si eu ca firmele mari nu raporteaza toate scrisorile piramidale de prin Rusia si Romania.

[Tyby]

da man, am AV pe Gateway, chiar performant, dar sunt destui care nu sunt in spatele gateway-ului sau sunt pe mobile devices ... si care nu sunt suficient de pregatiti (ca sa nu zic ca sunt catziva reprezentanti printre clienti care sunt practic batuti in cap - dau click pe tot ce mishca!) ...

Asa este, Blasteru' a fost mai dragut ... dar nu pot sa spun ca as fi tocmai incantat de un flood cu vreo varianta de Netsky sau MyDoom ...

Si da, Virusii actuali se bazeaza pe faptul ca nici un sistem software nu este complet om mai putin dotat intelectual Proof ... din pacate ...

[costin]

Cea mai recentă versiune de Netsky, numită Netsky.F, conţine un mesaj în cod care spune „Bagle - you are a looser!!!! (sic)” (Bagle eşti un ratat), iar o versiune anterioară conţinea mesajul „MyDoom.F is a thief of our idea!” (MyDoom.F ne-a furat ideea!).

Codurile din MyDoom.F, Bagle.I şi Bagle.J conţin şi ele mesaje adresate creatorului lui Netsky. Unul dintre mesaje este un avertisment deschis: „don't ruine our bussiness, wanna start a war?” (Nu te băga în afacerea noastră, vrei să începem un război?).

Cea mai recentă versiune de Bagle, numită Bagle.K, încearcă să păcălească destinatarul mesajului indicând în câmpul expeditorului departamentul de IT al companiei. MyDoom.G, cea mai recentă variantă de MyDoom, lasă un backdoor în computerele infectate şi le instruieşte să lanseze un atac asupra site-ului companiei Symantec Corp., producătorul programului Norton AntiVirus. Cea mai nouă versiune de Netsky, numită Netsky.F, este programată să dezactiveze versiunile anterioare de MyDoom şi Bagle de pe computerele infectate.

Conform producătorului de programe anti-virus Kaspersky Labs, ieri au fost lansate cinci versiuni noi de viruşi într-un interval de trei ore.

„Este greu de imaginat o situaţie mai ilară: o mână de creatori de viruşi se joacă fără a fi pedepsiţi cu tot Internetul şi nici măcar un singur membru al comunităţii Internet nu poate face nimic pentru a stopa această ilegalitate”, a declarat ieri Eugene Kaspersky, şeful departamentului de cercetare anti-virus de la Kaspersky Labs.

[Tyby]

mda, numai ca as avea o corectura: ultima varianta de netsky e deja .G

http://securityresponse.symantec.com/av ... .g@mm.html

[tapirul]

am si io o intrebare
computerul nu este om mai putin dotat intelectual Proof indeed, dar eu cred ca sunt o treapta mai sus. Deci, daca nu deschid nici un attachment (in general nu deschid daca nu stiu sigur ca am ceva de primit), ce sanse sunt sa ma infectez cu tipul asta de wormi si virusi?
Si alta intrebare, in cazul asta (user atent cu mesajele) conteaza sau nu ce email client am? (io inca folosesc Outlook Express for instance)

inca una: ce alte cai de raspandire virusi mai sunt, cu exceptia emails? Io dau jos, de exemplu, stoluri de pdf-uri de pe net (articole, rapoarte, etc) - e vreo sansa sa ma infectez?

[Tyby]

1. daca nu deschizi tot ce zboara, inseamna ca nu esti om mai putin dotat intelectual ... ... deci conceptul ramane in picioare ....

2. Sunt unele mesaje virusate care se lanseaza direct din fereastra de preview (se bazeaza pe ceva "scapari" ale MS in OE)

3. din PDFuri nu ... sunt cativa care baga in macrouri Office ... PDF nu ..

Alte forme de transmitere: directe (ex: share, floppy, CD, hdd etc) ...

[originaltup]

Ultima oara am luat un vierme in timp ce descarcam definitiile de virusi, uitasem sa dau drumul la firewall, deci poti sa iei un vierme si asa.
Am mai dat de pagini virusate pe net, deschideam o pagina si hopa antivirusu care zice ca e virusata (s-a intamplat de mai multe ori, dar pe site-uri underground ce-i drept).

PS. ai scapa de pericolul multor virusi de mail daca ai renunta la Outlook si ai trece pe altceva care nu ofera suport pt script, gen The Bat, Pegasus, etc.

[Tyby]

OE dupa SP1 vine setat om mai putin dotat intelectual Proof - dar nu foarte functional dincauza asta ...

Outlook 2003 rulz! Super Realizat ... si stabil, si functional ... o buba are: nu-mi da pozele inline ca OE ... dar m-am invatzat!

[costin]

Un nou vierme periculos a fost lansat. Viermele Sasser este primul care vine să profite de vulnerabilităţile din Windows, fiind remarcată infectarea a sute de mii de computere în acest weekend. Viermele atacă acele sisteme pe care nu s-au instalat ultimele patch-uri de securitate de la Microsoft.

Ca o particularitate, acesta nu mai soseşte prin e-mail, fiind suficientă conectarea la Internet a computerului vulnerabil. Infectarea duce la restartarea computerului de mai multe ori, exploatând vulnerabilitatea LSASS, care permite rularea de coduri de la distanţă şi preluarea controlului asupra sistemului afectat de către atacator. Pentru a se propaga, WORM_SASSER.A scanează la întâmplare adrese de IP pentru a găsi sistemele vulnerabile. Când găseşte un sistem vulnerabil, viermele trimite un pachet de date special conceput pentru a provoca un buffer overflow, ducând la restartarea Windows-ului.

Infectarea cu prima versiune a acestui vierme duce la o considerabilă degradare a performanţelor computerului, însă datele de pe computer nu sunt afectate.

http://www.chip.ro/stiri.php?id=5220
http://www.microsoft.com/security/incident/sasser.asp
http://www.symantec.com/avcenter/venc/d ... .worm.html

[tudor]

Nu ma pricep la calculatoare, asa ca va rog sa nu radeti...
am gasit cu ajutorul lui nod32 luat de pe http://www.nod32.ro un virus numit Harnig d trojan... apoi mi-am pun norton system works, am scanat si am gasit un backdoor trojan. Ce pagube mi-ar fi putut sau poate mi-au facut acestia? Mai am o intrebare m. importanta... pt ca sa fie eficienta scanarea si repararea fisierelor e necesar sa dau Disable System Restore si sa scanez in safe mode? Cum ajung in safe mode?
Si inca o intrebare... norton ghost imi copiaza lucrurile importante din computer, cu tot cu virusi, daca acestia exista?
V-am spus ca nu ma pricep... Multumesc de raspunsuri

[Tyby]

gasesti aici raspunsuri la toate intrebarile tale:

http://securityresponse.symantec.com/av ... rojan.html

PLUS: Norton Ghost face o imagine approx COMPLETA a partitiilor / hard-diskului ... aceasta nu se face la nivel de fisier / file-system, ci la nivel fizic ... deci vei avea in imaginea creata tot ce ai avut pe sursa ... inclusiv virusi, troieni etc ...