Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Jako natruc bych si SP2 neinstaloval, když na SP1 ani originální verzi není záplata. Mimochodem, nechápu proč není. Sice to řeší jiný prohlížeč, ale vzhledem k tomu že MSIE je rozlezlé v celém systému, nikdo nemůže říct co jiného to postihuje
No hlavne W2k, NT4 a Win98 s IE6 jsou ted dobre deravy. To jsem zvedavej, kdy ten patch bude.
Jirka: vzhledem k tomu, že na SP2 už je, tak si myslím že na předchozí verze nebude a nebo bude, ale za hooodně dlouho
No to ale znamena, ze na napademen pocitaci musi bezet web server, nebo ma ten MyDoom vlastni servrovou cast bezici na portu 80 a zpracovavajici HTTP pozadavky?
Jinak je to dost sila - takhle pekne vyuzit aktualni diry v NE WinXP SP2 windows systemech. A antiviry si fakt neskrtnou.
Problem c. 2 je, ze v tom mailu muze byut klidne odkaz na zavirovany zip s vyzvou, at to uzivatel rstahne, rozbali a spusti. Proti tomu antiviry moc nezmuzou. Navic to muze byt chranene vselijakym presmerovanim, aby nebylo hned jasne, ze je to .zip ci .exe soubor
Kdy bude záplata? Na dnešek záplata ohlášena není. Jelikož byla zveřejněna teprve v listopadu, bude funkční vzorek záplaty hotov koncem listopadu, takže prosincový update se kvůli nutnému testování také nestihne. Očekávejte záplatu 11.1.2005 pozdě večer :-)
oprava: Jelikož byla bezpečnostní díra zveřejněna...
Podla mna antiviraky maju sancu. Pokial je zapnute skenovanie dat prechadzajucich cez siet (v Node tusim imon), tak by to malo chytit, lebo sak ten sajrajt sa musi preniest po sieti. Dalsia vec je ta, ze pokial na napadnutej masine bezi firewall (ten win default), tak by sa nemalo dat na ten port pripojit (pokial to nie je nastavene).
presne ako hovori rejdi, pokial mas na servri, alebo FW zaveseny AV so skenovanim HTTP tak jednoducho nepovoli stiahnutie takeho suboru. Teda pokial ho bude AV poznat...
inak by ma fakt zaujimalo ako to unguje s tym linkom na napadnute PC.. web server a podobne ???
Aha uz to mam:
K e-mailu není přiložen žádný soubor. V něm uvedený odkaz ale směřuje na dříve infikovaný počítač, odkud byla zpráva odeslána. Pokud na něj uživatel klikne, dostane se na webový server běžící na tomto infikovaném systému. Obdrží od něj HTML kód, který zneužívá chybu �IFRAME buffer overflow�, díky které dojde ke stažení a spuštění viru.
Na infikovaném systému naslouchá Windows Explorer na TCP portu 1639, na kterém běží zmíněný webový server. Po kliknutí na �infikovaný odkaz� tedy dojde k připojení na dříve infikovaný počítač na http://IP_adresa:1639/index.htm. Dále je podstrčena stránka webcam.htm, což vyústí v přetečení zásobníku (buffer overflow), díky němuž může dojít k podstrčení škodlivého kódu, který přinutí počítač ke stažení souboru http://IP_adresa:1639/reactor na disk počítače (%desktop%\vv.dat) a jeho spuštění.
Následně si virus v systémovém adresáři Windows (%WinDir%\system32) vytvoří soubor s náhodným jménem, jehož název končí �32.exe�. K tomuto souboru vytvoří spouštěcí klíč v registru, který zajišťuje jeho spuštění při každém startu systému. Např. :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "Reactor3" = C:\WINDOWS\System32\heztiv32.exe
Inak mňa by ako zaujímalo, čo myslel autor článku poslednou vetou "Vtip je v tom, že příchozí mail sám přílohu neobsahuje a tak jej antivirové programy nekontrolují (alespoň doposud tomu tak nebylo, nyní je pravděpodobné, že už budou)." ???
To akože až teraz budú antivíry kntrolovať maily bez prílohy ? To ste kde nabrali ? Čo keď je mail vo forme html a v ňom je nebezpečný kód ? Myslíte, že teraz sa neskenujú antivírmy aj maily bez prílohy ???
A keď "už" budú skanované aj takéto maily, tak mi prezradte, ako ten antivírak zistí, že ten link je odkaz na web server, odkiaľ sa nainštaluje ten sajrajt. Ináč ono si to vytvorí samo web server a počúva na porte tuším 1639 a začne rozposielať maily ďalším s odkazom na seba.
Neměl být náhodou IE ze SP2 už nějak lépe ošetřen proti chybám z přetečení zásoníku? Skoro mám pocit, že si na něco takového pamatuju.
Je to myslím nesmysl. Můj antivir sleduje všechny aktivity v počítači a viru nedovolí vůbec nic. Stejně tak mě nedovolí se zavirovaným souborem nic udělat. Samozřejmě krom akcí: léčit, smazat...
ZOKI: Jednoduše: AVčka budou mít podmínku, která bude říkat, že jakmile odkaz na www, tak scanovat. A odkazů v emailu moc nebývá, tedy kromě SPAMu :) Takto by možná zabili 2 mouchy jednou ranou, jelikož takto by se daly filtrovat i SPAMy, s odkazy na lékárny s koupí Cialisu
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.