Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Nejrychleji se šířící červ Sobig.F se nevyhnul ani českým firmám a institucím

Červ Sobig.F, který kraluje ve statistikách antivirových společností, odhalil bezpečnostní slabiny informačních systémů i laxnost jejich administrátorů. Obrana proti červu Sobig.F je poměrně jednoduchá. Kdy si administrátoři vezmou ponaučení?

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

Jiří

Sobig.F a vše je jen problém

Mě už napadl tento vir a furt se mi restartovává počítač a objevují se neustále divné ikony jako například: trojan Horse Dailer is in the your computer! A má furt problémy s chybou 01/F101001 a podobně. Je to na Hov.. .

0/0
28.1.2004 20:27

Klokan

Linux ?
Opravdu by problém zmizel po přejití na Linux ?  Hm, až ho budou mít všichni, najde se dost lidí kteří podobnými viry budou likvidovat Linux. Vůbec bych se totiž nedivil, kdyby tyhle viry posílali právě fanatičtí propagátoři Linuxu, ve snaze znechutit uživatelům Windows.
0/0
24.8.2003 11:45

merlin

Re: Linux ?
jasne uz to vidim : virus linux128/Sobig.Z24 se usadí v root primo v souboru modules.conf, který pak volá při každém startu LINUXU prostřednictvím položky bla bla bla :) :) :)
0/0
24.8.2003 12:33

Real Hujer

???
Kdyz zfalsuju hlavicku e-mailu treba na vaclav.klaus@god.universe tak se mf pos.rou???
0/0
22.8.2003 15:39

Petr Nachtmann

Re: ???

samozrejme, ze ne.

1) domena god.universe neexistuje, postovni server prijemce si to vetsinou kontroluje

2) zfalsovani odesilatele je detinske a na nikoho tim dojem neudelatte. pokud ovsem odchazi e-maily s cerviky z nejake vyznamne instituce, je to na povazenou.

0/0
23.8.2003 10:24

Real Hujer

Re: ???
Chtel bych mit tolik casu kontrolovat ktery ipcka patrej statnim institucim. Kdyz chci spamovat tak urcite ne pres svuj server. Vetsina mi stejne chodi od free provideru. Takze souhlas, ale jinak se s tim stejne neda delat.
0/0
23.8.2003 10:31

povalec

Je to peklo

Jestli tomu dobre rozumim, tak maj Windows diry a proto je mozny je napadnout cervama. OK, tomu rozumim, ale nerozumim, proc mam vyhazovat penize oknem a stahovat brutalni objemy dat (zaplaty a aktualizace), platit za antivirovy programy, ktery me primarne neochrani (sekundarne se musim pripojit a za svoje penize si stahnout aktualizaci). Dneska jsem stahoval aktualizaci a patche z win update, ukazalo to 37 mega, k tomu 3 mega aktualizace AVG to je 40 mega jen za jeden pocitac... stahovat to dial-upem, tak si to hodim... jaky bylo ale prekvapeni, kdyz na 2 dny klek celej firemni system, nebylo mozny vystavit jedinou fakturu, vyexpedovat jedinou dodavku a vyrobit jedinej vyrobek... nejakej nachi.worm nas sestrelil (myslim, ze se to knam dostalo pres jednu on-line utilitku od UPS...). Pomohl nam programek stinger.exe od  McAfee...

0/0
22.8.2003 14:48

HW

Re: Je to peklo
Nemusite vyhazovat penize za objemy dat. Zalezi co mate za mailbox, muzete pres web vyhazet bordel nebo specialnim programem pres pop3 vyhazet tez ten bordel nebo pouzivat jinou technologii trebas imap (www.sendmail.cz) nebo, nebo .... Aktualizace OS jsou problemem, ale ne internetu, ale vyrobce softu. Jinak to co popisujete jsou dusledky, drtiva vetsina lidi resi problemy az kdy nastanou, takze cela potiz je z polovic dana lidskym faktorem. Lidi si vestinou pro kazdou korunu si nechaji vrtat koleno misto, aby si zaplatili nekoho kdo te praci rozumi, takze ze vam na dva dny kleknul system me vubec nedojima.
0/0
22.8.2003 15:36

povalec

Re: Je to peklo
To jsem si oddych, konecne se nasel nekdo, kdo veci rozumi a kdo vi, jak se branit budoucim utokum... Btw. u firmy se 60 pobockama po celym svete moc na vybranou nemame... MS Exchanche server a pripojeni skrz Extranet Acces Client, servery nekde v Tramtarii...
0/0
23.8.2003 14:22

pepíno

Re: Je to peklo
Jo, když má někdo antivir nahovno, tak se není čmu divit.
0/0
25.8.2003 10:26

Kopyto

Souhlasim s Mamlasem2
Ackoliv nemam Cesky Telecom zrovna v oblibe, musi si autor clanku uvedomit to, ze v tomto pripade dava Telecom jenom jako internet provider jen draty, to ze najaky jeho ADSL klient rozsiruje virus, za to preci nemuze. Ja taky kdyz mam rozbity mobil tak nepisu na mobil server, ze by s tim mel neco delat, ale necham si mobil opravit (trosku prehnane prirovnani)
0/0
22.8.2003 14:45

swm

Re: Souhlasim s Mamlasem2
Ver mi, ze Telecom pouze netaha draty... spis se hodi prirovnani, ze ty nekomu pronajmes mobil a on s nim bude volat po vsech certech a delat binec (i kdyz nevedome). Nechas to tak? Kdyby byl zpoplatnen objem dat a ne casove jednotky, tak by ti ma*ori co posilaj sobig z IOL byli jeste radi, ze je nekdo utne, dyz sami nevi, ktera bije...
0/0
22.8.2003 15:04

Stoupa

sobig

U nas ve firme se taky spustila lavina a prestoze jsme projeli vsechny pocitace asi ctyrma "fixama" na Sobig.F, nic jsme nenasli. Jediny k cemu jsme dospeli, ze jsme u kazdyho Outlooku nastavili pravidla pro zpravy a tak se vsechny maily s obsahem "See atached file for details" automaticky mazou. To samy pravidlo je i na odesilany zpravy. Kazdopadne nam cas od casu chodi zpravy o tom, jak jsme zas nekam poslali zavirovany mail...

Lze se jeste nejak branit?

0/0
22.8.2003 13:42

Re: sobig
Jednodusi je to resit na mail serveru pokud ho mate, ale zalezi co pouzivate ne vsechny maji potrebne schopnosti.
0/0
22.8.2003 13:49

ZaVodou

Re: sobig
Ano, lze: Odstranit jakykoli Outlook z dosahu uzivatelu. Je to boj, pri kterem az tece krev, ale vyplati se. Sam jsem to na siti s cca 100 uzivateli absolvoval loni tesne pred nastupem vlny viru Klez-H a teprve po dalsi vlne s BugBearem (obe jsme prosli bez jedineho pruniku) prestali uzivatele knucet, ze jsem jim Outlook sebral. Drzim palce ...
0/0
22.8.2003 13:53

Stoupa

Re: sobig
Tak to gratuluju! A na cem ted jedete? My tu mame exchange 5,5 takze toho moc na servru neodfiltruju a klient je ten Outlook. Potrebuji tedy klienta, kt pojede pres exchange, tu preinstalovavat nechci :-)
0/0
22.8.2003 14:08

ZaVodou

Re: sobig

Je to emailovy server na Linuxu s WEBovym klientem pro pristup z libovolneho prohlizece. Nazev neuvadim, protoze se uz nedodava a sam chystam jeho vymenu (za vice nez rok a pul se nahromadily pozadavky na vylepseni, ktera neni u koho realizovat). Ale momentalne testuji Kerio pro Linux, ktery vypada velmi slibne (http://www.kerio.cz/kms_home.html)

0/0
22.8.2003 14:14

Re: sobig
I exchange snad umoznuje normalni smtp-pop-imap . A predpokladam ze umoznuje i filtrovat, kazdopadne se pred nej da zaradit jinej mailserver, kterej to umi a je zadarmo (doporucuju napr. postfix)
0/0
26.8.2003 22:45

Re: sobig
Zachovej klid, to ze ti prijde zprava o nedorucitelnosti nebo varovani ze posilas mail neznamena, ze si ho poslal, ale ze NEKDO poslal mail a tebe uvedl ve FROM. Jestli ses admin (BFA :), tak zakaz na fw konexe ven na port 25 s vyjimkou tveho postovniho serveru (nebo z nej, podle toho kde ho mas) Tim utnes tipec vetsine viru, i kdyz dostanou tebe, tak se nedostanou od tebe dal. Taky na postaku je dobry preventivne zakazat vsechny exe, piff, src a pod. prilohy, to nikdo normalni neposila a pokud ano (tak neni normalni ;), tak to muze do neceho zabalit (napr. zip, rar nebo jen prejmenovat a v mailu na to usera upozornit). Ta trocha prace pro uzivatele navic se mnohokrat vrati. A samozrejme ve firme nasazovat conejvie neMS sw, i pro win je spousta maileru od jinych vyrobcu. A na spouste stanic ani win bezet nemusej ;o)
0/0
26.8.2003 22:41

WH

:)
K placi, k placi ouplny silenstvi co tady lidicky pisou. Provider neni povinen pomahat s problemem viru, zajistuje konektivitu a to je vse. Musite se lidickove postarat sami a kdo zna a umi ten tak cini a kdo nezna, tak se vzteka a pise nesmysly do diskuze na technetu.
0/0
22.8.2003 13:35

Mamlas2

Re: :)
Moje rec
0/0
22.8.2003 13:37

Real Hujer

Re: :) Provider
Nevadi ze tu mam mraky scanu, floodu, nejaky hezky pakety, pokusy o hack(z teleshitu), obcas to neslape 2 dny. ALE NA TELECOM MI FAKT NESAHEJTE!!! Mate problem zavolejte na zelenou linku a dozvite se ze technickou podporu muze taky delat taky absolutne BLBA KRAVA!!! Sorry ale musel sem si ulevit.
0/0
22.8.2003 15:52

WH

Re: :) Provider
Pripojuju se pres kvik cca 3roky a nikdy jsem nepotreboval nekam volat. Co je ta zelena linka? :)
0/0
22.8.2003 16:41

phoneman

Re: :)
konečně rozumný slova z rozumný hlavičky. Dík
0/0
27.8.2003 10:11

xander_c_a_g_e

kolik vam prislo Sobigu za den?
Kolik vam prislo nejvis za 1 den zavirovanych zprav? ja jich dostal za 3 hodiny asi 30 :-)
0/0
22.8.2003 13:08

Mamlas2

Re: kolik vam prislo Sobigu za den?
Nikdy ani jedna, dokazu totiz zabezpecit firmu 150 lidi...............
0/0
22.8.2003 13:36

Pepino

Re: kolik vam prislo Sobigu za den?
Na firme je to hej, ale pokud jses pripojenej pres nejakyho poskytovatele zadarmo, tak je to horsi. Za prvni den 18:00-24:00 cca 100 kousku, 00:00-6:00 cca 200 kousku :-((
0/0
22.8.2003 22:25

daneczek

skvele mily Wattsone!
skvele, autor clanku bije na poplach, protoze vir prisel i do mocnych instituci! pritom ho asi nenapadlo podivat se do hlavicky mailu s virem... on totiz falsuje adresu odesilatele na nahodnou, kterou najde v napadenem pocitaci v kontaktech... tazke mail vypada, jako ze je od ...rekneme ministerstva svihle chuze, ale relay servery, pres ktere prisel jiz tomu neodpovidaji. na druhou stranu fakt je, ze podobne viry se siri hlavne v institucich s velkou koncentraci neskolenych uredniku, asistentu a podrztasku.
0/0
22.8.2003 12:12

Petr Nachtmann

Re: skvele mily Wattsone!
Dival jsem se samozrejme do hlavicek, kde je videt, jak se jmenovaly inkriminovane pocitace ajake maji IP adresy
0/0
22.8.2003 15:21

Petr Nachtmann

Re: skvele mily Wattsone!
Ano, vim, o cem pisi.

Jako odesilatel byl uveden amsp@volny.cz a zdenek.hustak@sec.cz. Podle
hlavicek to vsak odeslo z pocitace pana reditel Korba:


Received: from mailx.nextra.cz (mailx.nextra.cz [195.70.130.1]) by
diana.mobil.cz (8.12.9/8.12.9) with ESMTP id h7KEL34Z025377 for
<redakce@mobil.cz>; Wed, 20 Aug 2003 16:21:03 +0200
Received: from KORB (unknown [193.179.185.128]) by mailx.nextra.cz (Postfix)
with ESMTP id 5E59AB2499 for <redakce@mobil.cz>; Wed, 20 Aug 2003 16:23:28
+0200 (CEST)
From: <amsp@volny.cz>
To: <redakce@mobil.cz>
Subject: Re: Details
Date: Wed, 20 Aug 2003 16:21:05 +0200


Received: from KORB ([193.179.185.128]) by diana.mobil.cz (8.12.9/8.12.9)
with ESMTP id h7L8VG4Z012555 for <redakce@mobil.cz>; Thu, 21 Aug 2003
10:31:17 +0200
Message-ID: <200308210831.h7L8VG4Z012555@diana.mobil.cz>
From: <zdenek.hustak@sec.cz>
To: <redakce@mobil.cz>
Subject: Re: Wicked screensaver
Date: Thu, 21 Aug 2003 10:31:46 +0200
0/0
22.8.2003 15:34

desi

Re: skvele mily Wattsone!
Kto je uvedeny ako odosielatel je uplne jedno... Ked hodis list do schranky tiez mozes napisat ze ho odoslal Bill Gates... to iste je u mailu. Problem je v tom ze su na net pripojene pocitace bez firewallov, bez ochrany a ludia si nainstaluju na PC hocijaky freeware nezmysel o ktorom ani netusia co v skutocnosti robi. Kto pouziva Outlook je blazon, navyse ak za taky nepodarok este aj plati... Btw. Windows je system vyvinuty pre PC (personal computer) a nie pre viacuzivatelske alebo sietove pouzitie, takze je deravy s principu... O to tazsie (ak nie nemozne) je ho zaplatat. Ja pouzivam ako mailserver Qmail s RAV antivirom, pracovne stanice su Linuxy a tak sa len tisko smejem...
0/0
22.8.2003 16:06

hanz

Re: skvele mily Wattsone!
skoda ze Microsoft killnul RAV. Jinak tez pouzivame qmail + rav a zadne problemy .... no tedka musim hledat nahradu za RAV.....
0/0
22.8.2003 18:18

František Chytrý

BLBOSTI

Vymysleme uz kurva nekdo nakou poradnou sit a vyserem se na internet.

Stejne je to vo hovne, jedna strana na vokrada vo prachy a druha skodi virama.

Lidi proti lidem!!!!

0/0
22.8.2003 11:57

ro16ck

Italové

 Paradoxně mi pomohli až Italové (asi před 90 min). Od té doby už nic.............

(spar@spar.it)

Good luck

0/0
22.8.2003 10:52

ro16ck

Vím kdo za to může.....

Sice jsem připojen pevnou linkou, ale u Telecomu za to může I.P.Z. (V Telecomu budou vědět o koho se jedná). Jen by mě zajímalo co se s takovými zaměstnanci(kteří si s tím neporadí) dělá ....   

 

 

0/0
22.8.2003 10:42

malcor

Jo tak musim rict ze tohle je snad prvni vir se kterym sem se setkal i u sebe :) Nicmene pouzivam ICQ pro info o zpravach na serveru a nasledne The Bat k jejich procisteni takze tezka pohoda :). Ale snazil se :)
0/0
22.8.2003 10:24

Lord Vader

switch
Pouzij Linux, Luku!
0/0
22.8.2003 10:21

Re: switch

Linux je podle mne jen docasne reseni problemu. Cervici a podobne srandicky prestavaji byt legrackami a stavaji se komoditou. Je to vlastne v podstate legalni podnikani. Co muze clovek ziskat tim, ze ziska kontrolu nad pocitacem s Windows 98? Muze poslat nejaky ten mailik, pokud ma pocitac modem, muze si s neho zavolat na "spravne" cislo a muze nekam premistit data, ktera ho zajimaji nebo nektera data modifikovat (mam na mysli akce, ze kterych muze mit nekdo uzitek, ne ciste destruktivni akce).  Pokud se mu totez podari u linuxoveho pocitace, tak lze tento pocitac pouzit i pro ziskani kontroly nad dalsimi pocitaci.

Linux: V soucasne dobe je malo rozsireny, je pouzivano mnoho ruznych e-mailovych klientu a pouzivaji ho takrka vyhradne uzivatele co o pocitacich neco vedi. Za techto okolnosti viry pro linux v soucasne dobe skutecne nehrozi.  Pokud se nekdy rozsiri, tak ho  budou pouzivat i mene znali lide. Prave uzivatele jsou podle mne nejslabsim clankem v zabezpeceni. Nevidim tudiz duvod, proc by se nemoly vyskytnout viry pro Linux. Je jiste pravdou, ze tvorba takoveho softwaru da asi o dost vice prace, nez  napsani Sobiga, ale nekomu se  asi vyplati, takovou praci nekomu zadat.

 

 

 

 

0/0
22.8.2003 16:17

desi

Re: switch
Blbost... Ziadny linuxovy mailovy klient nepouziva skriptovanie a navyse Linux je viacuzivatelsky system, t.j. kazdy subor ma nejakeho vlastnika a nejake prava. Takze ked sa niekto nahodou aj dostane na pocitac, nie je uplne jednoduche nieco tam napachat... Na rozdiel od Win, kde je vsetko kazdeho...
0/0
22.8.2003 16:28

Jerry (bez trojky)

Re: switch
No, co se týče přístupových práv, platí to i o správně nastavených NT/W2K/WXP, stejně jako se v Outlooku/Outlook Expressu nechá vypnout skriptování. Chyba ostatně obvykle není ani tak ve skriptech, jako v nezáplatované chybě zpracování MIME hlaviček v kombinaci s HTML maily, kdy je např. spustitelný soubor považován za audio a je spuštěn při pokusu o přehrání na pozadí. Oprava těchto chyb je samozřejmě k dispozici už hoooodně dlouho. Druhou chybou jsou bohužel samotní uživatelé, kteří otevřou cokoli. U novějších verzí Outlooku na to Microsoft reagoval znemožněním otevření/uložení většiny spustitelných souborů (což podle mě není zrovna ideální řešení), u OE se zaplaťpánbůh tato funkce alespoň nechá vypnout (což je lepší - pokud vím, že je to bezpečné, funkci pro jedno dané uložení přílohy prostě vypnu a pak zase nahodím). Ovšem bohužel (alespoň z bezpečnostního hlediska) ne každý používá NT-based systémy, ne každý je při běžné práci přihlášený jako user bez administrátorských práv (kolik lidí dělá na unixech pod rootem?), ne každý záplatuje - a navíc lidi otevřou každou hovadinu. To je pak těžké...
0/0
22.8.2003 17:34

DH

Re: switch - prober se!

Tak tohle může napsat opravdu jen hovátko, který linux v životě neviděl. Za to, že se Ti ho nepodařilo ani nainstalovat si můžeš sám! :o) Už se moc těším na virus pro Linux - ne že by tu až takové pokusy nebyly, ale měli tak malý dopad že se ani autorům nevyplatilo se tím zabývat. Nejdřív si o Linixu něco přečti a pak tu dělej machra!!!

Sám používám na Linuxovém serveru antivir, který každou příchozí/odchozí poštu nejprve zkontrolije než ji MTA zpracuje - jsem naprosto v pohodě! Jen všera mi odfiltroval skoro 500 emailů s viry!

0/0
23.8.2003 8:23

Jerry (bez trojky)

Re: switch - prober se!

Nevím, z čeho vycházíte, sám Linux vedle Windows používám (v serverovém nasazení) a znám ho. Čili buďto reagujete na nějaký úplně jiný příspěvek, nebo odpovídáte sám sobě...?
Už proto, že v mém příspěvku slovo Linux nepadlo ani jednou...

0/0
23.8.2003 10:40

white_sadhus

je to tak proste
jenom staci neotevirat prilohy u mailu, ktere neznate a rovnou je mazat. nemel sem jediny problem
0/0
22.8.2003 10:14

Dan1

Re: je to tak proste

Jestli pouzivate trojskeho kone jmenem Outlook Express/Outlook a myslite, ze staci neotvirat prilohy, tak jste naivni.

A pokud mate OE zazaplatovany, tak vydrzte - urcite nekdo objevi novou chybku, ktera ty prilohy otevre za vas :-)

0/0
22.8.2003 11:37

Re: je to tak proste
sedim za firewallem, avg a este sem dost vybiravej, na to co otevru za mail. nepochybuju, ale ze je to jenom otazka casu nez se tam nekdo dostane. pak to chce lepsi firewall
0/0
22.8.2003 12:56

Martin

Nemožné

Petře ... už dlouho jsi nekoukal pod prsty providerům ...

Navážet se do IOL, že některý z jeho zákazníků má infikovaný počítač je hloupost. Že se na Tebe vykašlali je pochopitelné, protože:
1. nejvíce nakažených je ADSL home, takže mají dynamickou IP adresu
2. správce mailserveru by celé dny nedělal nic jiného, než zakazoval IP adresy
3. na callcentru by se strhla pohroma ... kdejaký BFU telefonuje, že mu nejde odeslat pošta
4. kdekomu by technická podpora musela vysvětlit, že má nakažený počítač. Vesměs velmi intelektuálně náročné
5. správce mailserveru ještě nezakázal IP adresy s nakaženým PC a už by musel začít povolovat ty, co jsi PC odvirovali
6. a ti se právě znova nakazili, protože jsou blbí frantové uživatelé

Doufám, že už je Ti jasný postoj IOL.

0/0
22.8.2003 10:13

karlos

Re: Nemožné
není to tak nemožné, pokud se u zákazníka toto zjistí tak je na smtp serverech IOLu na blacklistu, doku neprestane zahlcovat servery pozadavky
0/0
22.8.2003 10:54

Martin

Re: Nemožné

Je to nemožné:
viz bod a) má dynamickou IP adresu, takže se odhlásí (šel na kafe a nebo operační systém to "vzdal"), přihlásí a vir spokojene jede dál ...

a jak vlasně poznám, že je nakažen virem a nebo spamuje? Nemůžu proaktivně zjišťovat rozdíl mezi realným provozem a "škodlivým".

0/0
22.8.2003 10:58

desi

Re: Nemožné
Je to mozne... jedna z vlastnosti toho virusu je ze scanuje cez ICMP pakety siete krizom krazom, v reale sa to javi ako ICMP flood, takze staci nastavit filter do firewallu a dynamicky nastavovat filtrovacie pravidla pre napadnute IP... Ale to by o tom niekto musel nieco vediet :-)
0/0
22.8.2003 16:12

lh

Re: Nemožné
Martin má naprostou pravdu, bohužel není co dodat
0/0
22.8.2003 11:25







Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.