"To prevent interruptions, you must exit from two programs. Go to the lower right hand corner. With the RIGHT mouse button, click on the ‘V’ shield icon (McAfee VShield) and choose Exit."
(http://cellbio.med.uc.edu/cna/Services/microscopy/protocols/plexprot.htm)
By default, the VShield task is automatically started upon system startup. This routine automatically checks each executable file whenever it is accessed (for execution or for copying). In most cases this is desirable, as it adds only a brief delay in accessing the file - in most cases you will not notice that the check is even ocurring. However, there are some rare instances where you may wish to bypass even this delay - as when copying a group of files to a writable CD-Rom drive. (Due to the nature of writing CD-Roms, if the files are not presented to the CD-Rom drive fast enough, a file transfer underflow condition may occur, causing the write operation to abort.)
To turn off on-access scanning, simply click on (highlight) the VShield task name, then click on the "Stop" icon on the tool bar. Do not forget to start it back up once the reason for stopping the scanning has past.
(http://www.vanderbilt.edu/its/antivirus/AVWin451Guide.html)
Ajánlatunk a szokásos: ha nem beszélsz angolul, akkor jelezd, és kivonatosan lefordítjuk. Üdv:
A SPF (Sygate Personal Firewal) tüzfal magyar használati útmutatója érdekelne -igény van rá!!!-.
A ZA-val használom párba és azóta a ZA kevesebbet jelez, ami lehet:
1, béna vagyok és valójában egyik sem dolgozik, mindent áteresztenek, (remélem nem)
2, Az SPF megfogja a javát, remélem jól állítottam be... (remélem igen)
3, Szerencsém van, az utóbbi idöben kevesebb a támadó, (remélem igen)
Tehát javaslatot a beállításhoz, segítséget a logok értelmezéséhez szivesen fogadok.
Ha érdekes esetleg a logokat is szivesen elküldöm, tanulmányozásra.
A "Bin Laden" vírus hivatalos neve W32.Toal.A@mm, röviden Toal féreg. A Symantec szerint elterjedtsége és veszélyessége alacsony. A féreg e-mail-ben terjed, amelynek subject sora és szöveg változó, viszont az attachment elnevezése (egyelőre) állandó: Binladen_brasil.exe.
Sziasztok, van egy kis problémám:
CD-írás közben a McAfee vshield begerjedt, hogy vírussal fertőzött fileokat talált, amivel a CD-t lényegében hazavágta. Ezután persze csináltam egy scan-t a teljes gépre, ekkor nem talált semmit. Az AntiVir/NT sem lelt a kérdéses helyen vírust. Mi lehet a hiba oka?
Nem hiszem, hogy érdekes lenne. Saját tapasztalataink szerint a legtöbb gondot továbbra is a Nimda és a Sircam okozza (ill. ezek mutációi), néha egy-két régebbi vírussal fűszerezve.
Nem tudom, hogy érdekes lehet-e, de most olvastam:
Bin Laden vírus
Claiby, 2001.10.24. 19:50
Dél Koreában feltűnt egy új e-mailen keresztül terjedő vírus. A neve: Osama Bin Laden
Egy felhasználó figyelmeztette az Ahnlab nevezetű vírusirtó programokat fejlesztő céget. Az illető elektronikus levélben kapta meg a vírust. Az Ahnlab szerint a fertőzés nem okoz adatvesztést, viszont lelassíthatja a számítógép működését és kiszivárogtathat adatokat a gépből a hálózaton keresztül. Arról egyelőre nincs elképzelése a cégnek, hogy ki készíthette a mail küldözgető féregvírust.
Azokat az üzeneteket ne nyissuk meg melyek tárgya a következők egyike, vagy hasonló:
Bin Laden toilette paper!
Sadam Hussein & BinLaden IN LOVE
Is Osama Bin Laden BAD-LOVED?
Kettő hete kezdtük meg a Sygate Personal Firewire (ingyenes tűzfal) tesztelését, a Ti javaslataitok alapján. Eddig a ZoneAlarm-ot és az AtGuard-ot használtuk. A teszt alapján kijelenthetjük: nagyon jól bevált, megbízható program, egyszerű a kezelése, bátran ajánljuk mindenkinek. Olyannyira megtetszett, hogy ezt fogjuk a továbbiakban is használni a tesztgépen. Ha igény mutatkozik rá, akkor írunk hozzá egy rövid magyar használati útmutatót. Oldalainkról (vagy a gyártótól) letölthető.
Nem a vírusirtókat kívánjuk így tesztelni, hanem a felhasználókat :-)
Mókát félretéve annyi értelme lett volna a dolognak, hogy "kézzelfoghatóvá" váljon a vírusleírás, azaz a felhasználó találkozzon egy "kinézetre" vírusos mail-lel azért, hogy éles támadás esetén ismerős legyen neki a levél, és ne nyissa meg ész nélkül. Az itt felvetett problémák miatt azonban valószínűleg maradunk a képernyőképeknél.
Nem sok ertelme van ilyen modositott levelek kuldesenek, ugyanis egyik komoly virusvedelem sem a levelek cimsora vagy a melleklet neve alapjan donti el, hogy a level virusos-e, hanem a melleklet elemzese alapjan. Ha pedig az nem virusos, akkor nem fogja a levelet virusosnak jelezni.
Ez legfeljebb a sajat kezuleg osszebuheralt levelszuroket tesztelheti, de nem hiszem, hogy ez lenne a cel.
Ha mindenaron ilyen teszteket akarsz csinalni, akkor figyelmedbe ajanlom a standard EICAR virus teszt fajlt, ami virust nem tartalmaz, de kozmegegyezes alapjan, eppen a viruskeresok tesztelese celjabol, szinte minden viruskereso fel fogja ismerni, es ugy fogja kezelni, mintha igazi virus lenne.
En maradnek a B megoldasnal, mert veszelyes lehet a virusszimulacio (valaki esetleg kicserelheti az attachmentet, a gyanutlan felhasznalo meg szepen megnyitja, gyanakvas nelkul...)
Ettől tartunk mi is, igazából ezért nem indult még el a dolog.
A jelenlegi elképzelés szerint megmaradna az eredeti subject és az eredeti levéltartalom (egy kiegészítő, elkülönülő alsó sorral, amelyben 2-3 nyelven jeleznénk, hogy a vírus nem igazi, és a levél ismeretterjesztő célból készült), megmaradna a csatolt rész kiterjesztése, viszont maga a csatolt file egy teljesen ártalmatlan, saját készítésű exe lenne, aminek semmiféle köze nincs a vírushoz. Az egész dolog tehát lényegében egy szemléltető, demonstrációs eszköz lenne, a vírusirtók pedig természetesen nem találnának semmit.
A "álvírusos" leveleket csak külön kérésre, regisztráció és visszaellenőrzés után, az ott megadott címre küldenénk el.
B lehetőség: csak képernyőképeket teszünk fel a web-oldalra, saját gyűjtéseinkből :-)
"Tervezzük vírusszimuláció kérési/küldési lehetőséget is..." Nekem, mint mezeijúzernek tetszik az ötlet, bár nem egészen értem a megvalósítás módját.
Kiherélt igazi vírusokat küldözgetnétek, amelyekre pl. a vírusirtók rábukhatnak, vagy játék vírust kreálnátok és feltennétek attachement-ként ÍgyLökikaNejed.doc.z69 formátumban, "Bebebeee, Április Bolondja!" tartalommal?
Mindenesetre tartok tőle, hogy a humortalanabb kollégák a hintőporos műanthrax levelek analógiájára a fejeteket fogják követelni rémhírterjesztésért és/vagy közveszéllyel való fenyegetésért, a méghülyébbek pedig puszta jóindulatból hoaxot indítanak "Új vírus jelent meg NEJED névvel, amely előbb letörli az összes .dll-t a gépedről, aztán FORMAT C-t csinál, és tönkreteszi a modemedet, végül 3 példányban elküldi a legtitkosabb adataidat az APEH-nek és a szeretőid férjének/feleségének" Szóval jól át kéne gondolni a megvalósítást!
Üdv:
Bedros®
Riched*.dll még mindig. Néhány vonatkozó forrás, avagy variációk egy témára :-)
"(...) to Windows system directory with the name RICHED20.DLL (and overwrites the original file by the same name)" -- http://www.kav.ch/avpve/worms/email/nimda.stm
"Once found, it will drop a hidden file called RICHED20.DLL to any directory which has DOC and EML files. When other users try to open DOC or EML files from these directories, Word, Wordpad or Outlook will execute RICHED20.DLL causing an infection of the PC." -- http://www.europe.f-secure.com/nimda/nimda.shtml
"Existiert die Datei "riched.dll" im Systemverzeichnis mit einer Länge von genau 57344 Bytes, so ist auch dies eine 1:1 Kopie der "readme.exe" und ihr System kompromittiert." -- http://www.cert.dfn.de/infoserv/dsb/dsb-2001-01.html
"The virus copies itself into the Windows directory with the filenames load.exe and riched20.dll (both have their file attributes set to "hidden"), and attempts to spread itself to other users via network shares." -- http://www.sophos.com/virusinfo/analyses/w32nimdaa.html
"The worm then infects executables, creates itself as .eml and .nws files, and copies itself as Riched20.dll in folders that contain .doc files on the local drive." -- http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
A virusbusteren (http://www.vbuster.hu/cgi-bin/vlab/virus.cgi?fn=data/hu/i-worm.nimda) ez olvasható: "További másolatot készít magáról a rendszerkönyvtárban RICHED32.DLL néven, rejtett és rendszerattribútumokkal ellátva."
---------------------------------------
A fenti variácók alapján tehát nehéz korrekt leírást adni arról, hogy pontosan mit is csinál a Nimda Riched*.dll ügyben... Tovább nehezíti a dolgot a különféle alváltozatok eltérő működése. Nekünk az a véleményünk, hogy az átlagos felhasználó szintjén nem is annyira a pontos mechanizmus megértése a lényeges, hanem az, hogy a felhasználó időben felismerje a veszélyt, ne nyissa meg a vírusos levélmellékleteket, ill. ha mégis beszerzi a fertőzést, akkor legyen valamilyen hatékony eszköze a detektálásra és az eltávolításra. Ennek ellenére a gyakorlottabb, mélyebb ismeretekkel rendelkező felhasználók kedvéért linkelni fogjuk az eredeti változatokat is, lehetőleg egy-egy témából több hivatkozást is.
PS.: Tervezzük vírusszimuláció kérési/küldési lehetőséget is, azaz a regisztrált felhasználók saját címükre kérhetnek majd olyan levelet, amely teljesen úgy néz ki, mint egy eredeti vírusos levél, viszont a végrehajtható csatolt állomány nem fertőz, nem terjed, és csupán egy figyelmeztető feliratot ír ki. Szerintünk ez hasznos azok számára, akik még nem találkoztak "élesben" egy-egy új vírussal. Mi a véleményetek erről?
>Tovább terjedni pedig csak oda tud, ahova egyébként az adott felhasználó írni tud (szerver,
>ÍRÁSRA megosztott gépek).
Ez igy igaz is lenne, ha a Windows rendszerek nem osztanak meg alapertelmezesben az osszes meghajtot, koztuk a rendszermeghajtot is, meghozza jelszo nelkul. Ezt persze altalaban nem lehet latni a megosztasok kozott, de egy net share parancs kiadasa felfedi. Es vannak virusok, mint pl. a Nimda is, amik ezeket a megosztasokat tudjak kihasznalni arra, hogy a lokalis halozaton szetterjedjenek.
Üdv!
A félreértések tisztázásához...
A rich text formátumot használó alkalmazások, mint például a Microsoft Word és Wordpad, a RICHED20.DLL fájlt használják.
Létezik tehát RICHED20.DLL fájl, a WINDOWS SYSTEM könyvtárában, és ezt írhatja felül a vírus. Ezután a vírus már az RTF fájlokat használó alkalmazások futtatásakor is terjed.
Fr
"A mostani félreértésből tanulva a fenti bizonytalanságok csökkentése érdekében ezentúl mindig belinkeljük az eredeti forrás(oka)t is."
Hát az mondjuk nem árt, mert nagy bajokat lehet okozni egy téves vagy félinformációval. Nálam fordult elö a levlistámon (aminek semmi köze az informatikához), hogy valaki továbbitott a listára egy levelet, hogy a valamilyen file a windows könyvtárban virus file, erre néhányan örültmód kitörölték azt a file, és nagy boldogan jelezték, hogy megszabadultak töle, minekutána kiderült, hogy az volt felelös asszem a magyar ékezetes karakterekért...
A Centrum leírásában az ominózus sor így hangzik:
"Emellett találunk egy RICHED32.DLL-t is rejtett fájlként, szintén a rendszerkönyvtárban."
Az információ korrekt, egyetlen apró részletre azonban figyelni kell: a dll eredeti helye ott van, ahol a winxx egyébként is tárolni szokta ezeket, azaz pl. a c:/windows/system könyvtárban. A Nimda viszont csinál róla egy fertőzött, rejtett attributumokkal rendelkező másolatot a (fenti példánál maradva) c:/windows-ba. Mivel a két azonos nevű dll közül az utóbbit találja meg először az op.rendszer, így ez hajtódik végre, tehát hiába korrekt az eredeti, c:/windows/system-ben található fájl, a vírus támadni fog.
Az eredeti forrásunk a c:/windows könyvtárat mint "default system directory"-t említette, ezt fordítottuk rendszerkönyvtárnak (ami tehát nem a c:/windows/system-et takarja!).
A leírások úgy készülnek, hogy -- saját tapasztalataink továbbadásán túl -- az eredeti, általunk mértékadónak tekintett ny-európai, amerikai forrásokból fordítunk, kiküszöbölve a másod-harmadközlésekből adódó pontatlanságokat. Ezek a referenciaoldalak azonban meglehetősen részletesek, bonyolult nyelvezetűek, szakembereknek íródnak. Nekünk tehát úgy kell eljárnunk, hogy egyszerűsítsünk is, de a lényeg is maradjon meg torzítatlanul. Ennek következtében eleinte előfordulhat, hogy nem leszünk teljesen egyértelműek és/vagy következetesek. Köszönjük ezért az ilyen jellegű visszajelzéseket: próbálunk kialakítani egy olyan nyelvezetet, amit mindenki ért, ami mindenki számára követhető és triviális.
A mostani félreértésből tanulva a fenti bizonytalanságok csökkentése érdekében ezentúl mindig belinkeljük az eredeti forrás(oka)t is.
Most telepítettem 0-ról a gépem és nekem is van riched.dll riched20.dll és riched32.dll a system könyvtáramban.
Most néztem meg a Win98 install 37-es (SE 40-es) cab-jában található. Ézek pedig a gyári MS CD-n. Végkövetkeztetés, ezek a fájlok a rendszer részei, a virus csak lecseréli vagy beleír. Ha az írtó nem jelzett ill. nincsen *.eml fájllal tele a vinyód, akkor nyugi!
