"Ráadásul a vírusirtó programok nem ismerik fel ezt a károkozót."
Ezt honnan a tarka f@szból szedte a tisztelt újságíró úr? Csak nem a dilettáns/átverős levélből? :-(((((((
"Így azoknak is igazuk volt, akik riasztottak és azoknak is, akik vaklármának titulálták az elmúlt három nap riadóláncát."
Egy nagy lóf@szt! Az itt is beidézett levélben az állt, hogy a SULFNBK.EXE az egy vírus, tehát le kell törölni. Így, kijelentő módban. Ez pedig nem igaz, mert a SULFNBK.EXE a Windows 95, 98 és Me operációs rendszerek szerves része.
Az utóbbi napokban elterjedt a hír szerkesztőségünkbe is számos figyelmeztetés érkezett -, miszerint egy SULFNBK.EXE nevű, e-mailben érkező vírus rendkívül veszélyes károkozó. Akik az állományt kiirtották gépükről, rosszul jártak.
- Egy virus terjeng aminek a neve: sulfnbk.exe. - olvasható az első levelek egyikében - általában a c:/windows/command könyvtárban van és június 1-én
aktiválódik. Mindenképp töröljük ki!
Nos, aki kitörölte, rosszul járt, ugyanis a SULFNBK.EXE általában megtalálható a windows-os gépekben, mivel ez a hosszú fájlnevek mentésére szolgáló segédprogram.
Erre azok a szakemberek, akik a gépekhez az egyszeri felhasználónál többet értenek (rendszergazdák, informatikusok) is rájöttek, így kör(e)levelet intéztek a magyar internetezőkhöz, hogy ne dőljenek be a riasztásnak.
- Kedves barátaim,- figyelmeztetett az egyik szakember levelében - álljon már meg az általanos hisztéria és várjunk néhány napot, hogy mi is a tényleges helyzet.
A többi levélíró is a tömegessé váló figyelmeztető e-maileket vaklármának minősítette és pánikokozás miatt elnevezte szociológiai vírusnak.
Ám mégsem nyugodhatnak meg azok, akik az e-mailben kapott SULFNBK.EXE után nem vizsgálták át tüzetesen a gépüket. A VírusBuster internetes honlap szerint ugyanis a Magister nevű vírus ilyen néven csatolja magát a fertőzött e-mail üzenetekhez és ezt az állományt is fertőzi meg a gépeken. Ráadásul a vírusirtó programok nem ismerik fel ezt a károkozót.
Így azoknak is igazuk volt, akik riasztottak és azoknak is, akik vaklármának titulálták az elmúlt három nap riadóláncát. Mindenesetre nem túl jó, ha szőnyegbombázás szerűen, figyelmezetések árasztják el a lelevesládát és az sem, ha fertőződik a gép.
Szeretném megkérdezni, hogy mi lehet ez a W95/MTX.gen@M, amelyen a Mcafee scan üzemmódban állandóan kidob.
Más. Gépemen több póstafiók is létezik, ezért nincs a internet kapcsolódáskor előugró párbeszéd ablakban elmentett jelszó. Ezért érdekes, mikor csak az asztal látszik, tehát nincs munka, kérés nélkül előugrik egy netre kapcsolatot kérő ablak. Érzésem szerint, ha elmentett jelszó lenne, akkor megvalósulna az RTL Club honlapján lévő cikk lényege?
További problémám a 32. hozzászólásomban olvasható.
Akárkinek küldök egy levelet, rögtön arra a címre küld egy másik, gémkapcsos levelet:
Status: U
Return-Path:
Received: from brutus.emitel.hu ([192.168.1.1]) by nero.emitel.hu
(Netscape Messaging Server 3.6) with ESMTP id AAA5804
for ; Fri, 1 Jun 2001 13:27:44 +0200
Received: by brutus.emitel.hu (8.9.1/8.9.1) id NAA03857
for ; Fri, 1 Jun 2001 13:27:42 +0200 (MET DST)
From: ttibor@emitel.hu
Received: from unknown(195.228.182.21) by brutus.emitel.hu via smap (V5.0)
id xma003607; Fri, 1 Jun 01 13:27:14 +0200
Received: (qmail 7579 invoked by uid 77); 1 Jun 2001 11:27:15 -0000
Delivered-To: thernesz.hu-thernesz@thernesz.hu
Received: (qmail 7577 invoked from network); 1 Jun 2001 11:27:15 -0000
Received: from unknown (HELO brutus.emitel.hu) (195.228.182.1)
by sugovica.baja.hu with SMTP; 1 Jun 2001 11:27:15 -0000
Received: by brutus.emitel.hu (8.9.1/8.9.1) id NAA03581
for ; Fri, 1 Jun 2001 13:27:12 +0200 (MET DST)
Date: Fri, 1 Jun 2001 13:27:12 +0200 (MET DST)
Message-Id: <200106011127.NAA03581@brutus.emitel.hu>
Received: from dialin05-isdn1.emitel.hu(195.228.11.5) by brutus.emitel.hu via smap (V5.0)
id xmaa03311; Fri, 1 Jun 01 13:26:45 +0200
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="==i3.9.0oisdboibsd((kncd"
Ismét egy új rémhír/kacsa lánclevél terjed az interneten, valószínűleg sokan meg fogjátok kapni közületek is jó szándékú, de hozzá nem értő ismerősöktől. A levél arra buzdít, hogy keresd meg a gépeden a SULFNBK.EXE programot és ha megtalálod, azonnal töröld le. KÉRLEK NE TEDD! Felelősséggel kijelentem, hogy ez nem vírus, hanem az operációs rendszer része. Ha esetleg megkapnád a levelet, semmiképpen ne továbbítsd, legfeljebb a feladó figyelmét hívd fel az alábbi oldalakra:
Ez pedig határozottan tőled jött! (c: De ha már így "hírbe hoztalak", szívesen telepítek neked egy nagyon jó vírusirtót, ha legközelebb Baján járok. (Hamarosan várható, reszkess Mijo! :-))
Szomorúan olvasom, hogy vírusküldő hírébe keveredtem.
Pedig én senkinek nem küldtem tovább az inkriminált levelet, sőt! Felbontatlanul töröltem, mire fel azóta folyamatos programhibát jelez a gépem, lehet, hogy ezt a hozzászólást sem tudom feladni.
Received: from prins.externet.hu <212.40.96.161> [204.68.23.22] by mx03 via mtad (34FM.0700.17B.03)
with ESMTP id 740Feqc5w0158M03; Thu, 17 May 2001 02:56:22 GMT
Received: from prins.externet.hu [212.40.96.161] by nwcst277 via mtad (34FM.0700.17B.03);
Thu, 17 May 2001 02:56:22 GMT
Received: from tajcs (Dial006-79.externet.hu [212.40.107.222])
by prins.externet.hu (8.9.3 3.2W/8.9.3/Debian 8.9.3-21) with SMTP id EAA32756
for ; Thu, 17 May 2001 04:56:08 0200
Date: Thu, 17 May 2001 04:56:08 0200
Message-Id: <200105170256.EAA32756@prins.externet.hu>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="--VE4TQ7SH"
To: undisclosed-recipients:;
--------------------------------------------------------------------------------
GKANNJGK.EXE (23K)
Ennyire azért nem kellene hálásnak lenni a jótanácsért! (c:
1. Mindenképpen legyen a gépeden egy jó víruskereső program, amit legalább kéthetente frissítesz az interneten keresztül! Ha sokszor és sokáig kapcsolódsz az internetre, akkor egy tűzfal program is szükséges, amit szintén rendszeresen frissítened kell. Nem árt, ha feliratkozol egy hírlevélre, így ha megjelenik egy új vírus, azonnal letöltheted a vírusirtód frissítését.
2. Használj olyan levelező programot, amelyik nem nyitja meg automatikusan a csatolt fájlokat, vagy állítsd be így a meglévő programodat! Csatolt fájlokat csak és kizárólag akkor nyiss meg, ha ismered a feladóját, aki jelezte neked, hogy küld valamit és hajszálpontosan tudod, hogy mit tartalmaz a csatolás. Még ebben az esetben is először ellenőrizd víruskeresővel, csak utána indítsd el vagy nyisd meg! Soha nem lehetsz túl elővigyázatos.
3. Csak jogtiszta programot telepíts eredeti CD-ről! Az internetről letölthető szabad programokkal különösen légy óvatos! Mindig ellenőrizd őket víruskeresővel!
4. Ne továbbíts vírusra figyelmeztető körleveleket, mert ezek legnagyobb része blöff, átverés. Tulajdonképpen maga a levél a "vírus", amit te terjesztesz azáltal, hogy küldözgetni kezded. Akiken pedig segíteni akarsz, egyáltalán nem lesznek ettől védettebbek.
Csatlakozom az elottem szolohoz: elobb leirtani, aztan a holtteste felett elgondolkodni azon, hogy mit is akart mondani.
Amugy nehany szoban osszefoglalva az alabbiakat lehet a Hybrsirol tudni:
A csak 32 bites Windows operációs rendszerek alatt életképes féreg szokás szerint e-mail üzenet mellékleteként érkezik.
Aktivizálódása után elsőként a WSOCK32.DLL-t veszi célba. Az utolsó fájl szekció végére szúrja magát, majd úgy módosítja a DLL-t, hogy az Internetes kapcsolat létrehozását, illetve az adatok küldését és fogadását végrehajtó connect, send és recv eljárásokat magára irányítsa. Ezáltal a hálózati forgalmat teljes mértékben irányítása alatt tarthatja.
Amennyiben a WSOCK32.DLL-hez tiltott a hozáférés (mivel éppen valamelyik alkalmazás igénybe veszi), akkor véletlenül összerakott névvel létrehozza egy másolatát, azt bütyköli meg a fenti módon, majd pedig elintézi, hogy a következő rendszerindításkor (program frissítésnek álcázva) a Windows lecserélje a féreg által módosított DLL-re az eredeti WSOCK32.DLL-t.
Extra óvintézkedésként azt is bejegyzi a registry-be, hogy a következő rendszerindításkor (de a továbbiakban már nem) lefuttassa a féreg egy, a Windows rendszerkönyvtárban véletlen néven létrehozott másolatát. Ennek a lépésnek a valószínű motivációja az, hogy ha valami okból az előző két behatolási kísérlet csődöt mond, legyen még egy utolsó lövése a féregnek.
A legnagyobb húzása a Hybrisnek az, hogy funkcionalitását rugalmasan képes bővíteni pluginek segítségével. Ezekből egy alapkészletet maga a féreg is tartalmaz, 1024 bites RSA-szerű kódolással titkosítva. Ezen kívül használ még 1023 bites RSA kódolást is 128 bites elenőrző függvénnyel. Mindezzel biztosítja, hogy ne lehessen ezeket a plugineket hamisítani.
Jelen pillanatban 11 különböző plugin 32 változata kering közkézen.
Amennyiben a vírus éppen aktív, bármikor felfrissítheti plugin készletét az alt.comp.virus hírcsoportról. Az egyik standard pluginje egy 70 címet tartalmazó listáról véletlenszerűen kiválasztott szerveren keresztül próbálja meg elérni a hírcsoportot, oda elpostázza az adott féregpéldánynál található bővítéseket, majd végigböngészve az üzeneteket ellenőrzi, talál-e esetleg a sajátjainál frissebb verziót valamelyikből, vagy esetleg egy teljesen újat. Az üzenetek véletlenszerű címet viselnek, amelynek első négy karaktere a plugin neve, a többi pedig a kódolt verziószáma. Ha talál egy új bővítést, a féreg kitömöríti azt, és magáéva teszi, felülírva az esetleg már jelen levő korábbi verzióját.
A megtámadott gépen a Hybris ezeket a plugineket a merevlemez rendszerkönyvtárába menti el, véletlenszerűen kreált nevekkel.
A legfontosabb bővítések a következőek.
ZIP és RAR fertőző modul
A modul C:-től Z:-ig végignézi az elérhető meghajtókat végigkeresi, és ha azokon ZIP vagy RAR archívumokat talált, akkor azokat megfertőzi. A már bennük levő EXE programokat átnevezi EX$ nevűre, magát pedig az eredeti EXE nevén hozzáadja az archívumhoz.
NEWS modul
Ez a modul küldi el az adott gépen éppen aktuálisan jelen levő modulokat kódolt formában az alt.comp.virus hírcsoportra, valamint az azon esetleg fellelhető esetleges újabbakat letölti.
Cicavízió modul
Minden év szeptember 16-án vagy 24-én, illetve 2001-től kezdődően minden óra 59 percében a képernyő közepén mgjeenít egy nagyméretű forgó spirált. Ettől elég nehéz megszabadulni, mivel a futó processzek listájából elrejti magát.
Subseven modul
Enek segítségével a féreg körülnéz, van-e a környezetében olyan gép, amire a Subseven trójai program telepítve van. Ha talál ilyent, akkor felveszi vele a kapcsolatot, és átküldi neki a Hybris egy másolatát, és el is indítja azt.
Kódoló modul
Ezt használja a féreg arra, hogy továbbküldés előtt kódolja magát.
Program fertőző modul
Ez a modul képes megfertőzni DOS-os illetve Windows-os EXE programokat úgy, hogy azok tartalmazzanak egy férget kibontó programot. Ha később egy ilyen fertőzött programot elindítanak, az kibontja magából a Hybrist a TEMP könyvtárba, és el is indítja. DOS programok esetén a fájl végére kerül a kibontó program és a féreg törzse, Windowsos EXE programok esetében először tömöríti a kódszegmens eredeti tartalmát, és ha még van elég hely, a kód szegmens végére rakja a kibontó programot és a férget.
Ezáltal igyekszik elkerülni, hogy a program hosszának növekedésa gyanúra adhasson okot.
Még a hossz megmaradása esetén is felismerhető lenne a féreg, ha valaki veszi a fáradságot, és figyeli a programjainak CRC ellenőrző összegét (vagy van olyan alapos, hogy vírusvédelme kiegészítéseként integritás ellenőrző programot használ). A féreg ugyanis néhány bájtot illeszt még a kódja végére úgy, hogy az eredeti program CRC-je (néhány gyakran alkalmazott CRC algoritmus használata esetén) ne változzon. Így még arra is van esélye, hogy az amúgy rendkívül biztonságosnak tekintett integritás ellenőrző programok védelmén is átcsússzon.
Levélkomponáló modul
A levelek küldéséhez ez a modul választja ki véletlenszerűen a címsorokat és a levél szövegét. Feladóként a
A címsorokat a plugin egyik (gyakoribb) verziója az alábbi listából választja:
1. Snowhite and the Seven Dwarfs - The REAL story!
2. Branca de Neve porn"!
3. Enanito si, pero con que pedazo!
4. Les 7 coquir nains
A levél szövege angolul, franciául, spanyolul és portugálul egy szöveget tartalmaz Hófehérkéről és a hét törpéről.
A levél természetesen mellékletként a féreg egy példányát tartalmazza, szintén egy listából kiválasztott véletlen néven.
>Mikor frissítetted utoljára a vírusirtót a gépeden?
Igazsag szerint a Hybrist tavaly oktober ota minden valamirevalo viruskereso ismeri. Ennek ellenere azota folyamatosan vezeti a virustoplistakat (igazan nem reklamnak szamon, de a mi osszesitesunket is ld. http://www.vbuster.hu/vlab/top10/).
Azt hiszem, a felhasznalok nem veszik komolyan az altalad is osszefoglalt biztonsagi ovintezkedeseket.
1. Mindenképpen legyen a gépeden egy jó víruskereső program, amit legalább kéthetente frissítesz az interneten keresztül! Ha sokszor és sokáig kapcsolódsz az internetre, akkor egy tűzfal program is szükséges, amit szintén rendszeresen frissítened kell. Nem árt, ha feliratkozol egy hírlevélre, így ha megjelenik egy új vírus, azonnal letöltheted a vírusirtód frissítését.
2. Használj olyan levelező programot, amelyik nem nyitja meg automatikusan a csatolt fájlokat, vagy állítsd be így a meglévő programodat! Csatolt fájlokat csak és kizárólag akkor nyiss meg, ha ismered a feladóját, aki jelezte neked, hogy küld valamit és hajszálpontosan tudod, hogy mit tartalmaz a csatolás. Még ebben az esetben is először ellenőrizd víruskeresővel, csak utána indítsd el vagy nyisd meg! Soha nem lehetsz túl elővigyázatos.
3. Csak jogtiszta programot telepíts eredeti CD-ről! Az internetről letölthető szabad programokkal különösen légy óvatos! Mindig ellenőrizd őket víruskeresővel!
4. Ne továbbíts vírusra figyelmeztető körleveleket, mert ezek legnagyobb része blöff, átverés. Tulajdonképpen maga a levél a "vírus", amit te terjesztesz azáltal, hogy küldözgetni kezded. Akiken pedig segíteni akarsz, egyáltalán nem lesznek ettől védettebbek.
Egész jól összeszedted, alig kell valamit hozzátennem.
1. A kétheti frissítés általában elég. Azért nem árt, ha előfizetsz egy hírlevélre, és ha jön egy új vírus, akkor azonnal letöltheted a frissítést.
2. Még ha ismered a feladót, és tudod, hogy küld levelet és csatolt fájlokat, akkor sem ajánlom, hogy előzetes vírusellenőrzés nélkül azokat lefuttasd. Soha nem lehetsz túl elővigyázatos.
Tegnap este viccelődtem, de most fordítsuk komolyra a szót! Nem vitatom Sanyi jó szándékát, csak azt, hogy a figyelmeztetése után bárki is felkészültebben tudna fogadni egy esetleges vírustámadást. Ajánlatom a következő (Szapi kiegészít esetleg):
1. Mindenképpen legyen a gépeden egy jó víruskereső program, amit legalább kéthetente frissítesz az interneten keresztül! Ha sokszor és sokáig kapcsolódsz az internetre, akkor egy tűzfal program is szükséges, amit szintén rendszeresen frissítened kell.
2. Használj olyan levelező programot, amelyik nem nyitja meg automatikusan a csatolt fájlokat, vagy állítsd be így a meglévő programodat! Csatolt fájlokat csak és kizárólag akkor nyiss meg, ha ismered a feladóját, aki jelezte neked, hogy küld valamit és hajszálpontosan tudod, hogy mit tartalmaz a csatolás.
3. Ne továbbíts vírusra figyelmeztető körleveleket, mert ezek legnagyobb része blöff, átverés. Tulajdonképpen maga a levél a "vírus", amit te terjesztesz azáltal, hogy küldözgetni kezded. Akiken pedig segíteni akarsz, egyáltalán nem lesznek ettől védettebbek.
Jómagam szívesen állok bárki rendelkezésére akár itt, akár levélben vagy telefonon és gondolom, Szapi is szívesen segít.
